1inch のマーケットメーカー TrustedVolumes が攻撃を受け、損失は 587 万ドルに達しました

ブロックチェーン・セキュリティ企業 Blockaid は、米国東部時間 5 月 6 日に X への投稿で、分散型取引所アグリゲーター 1inch の流動性提供者およびマーケットメイカーである TrustedVolumes が継続的な攻撃を受けていると明らかにした。同社の声明が出された時点で、損失は約 587 万米ドルに達している。

攻撃の技術的詳細：RFQ 交換プロキシ・コントラクトの脆弱性

Blockaid の声明によると、今回の攻撃で悪用された脆弱性は、TrustedVolumes 自身が管理するカスタム RFQ（Request for Quote、見積もり依頼）交換プロキシ・コントラクトに存在し、2025 年 3 月の 1inch Fusion V1 事件で問題となった脆弱性とは異なる技術コンポーネントだという。

Blockaid は、声明発表時点で盗まれた資産の内訳を以下の通りとしている：

WETH（Wrapped Ether）：1,291.16 枚

USDT：206,282 枚

WBTC（Wrapped Bitcoin）：16.939 枚

USDC：1,268,771 枚

関与機関：1inch、TrustedVolumes、Blockaid

Blockaid の声明によれば、2025 年 3 月の 1inch Fusion V1 攻撃事件と今回の事件は同一の攻撃者によって実行された。2 回の攻撃で悪用された技術的な脆弱性は異なっており、Fusion V1 と今回の被害を受けた TrustedVolumes の RFQ 交換プロキシ・コントラクトは別個のコンポーネントにあたる。

重要なデータ：DeFi セキュリティ事件の背景

オンチェーン・データ・プラットフォーム DefiLlama の集計によると、2026 年 4 月のハッキング攻撃および脆弱性の悪用による損失は 6.352 億米ドルで、2025 年 2 月（Bybit が被った損失が約 15 億米ドル）以来の単月損失額として最高記録となった。

The Block の報道では、TrustedVolumes への攻撃は 2026 年 5 月上旬以降に発生した第 5 の主要な脆弱性悪用イベントだという。同期間の主要な出来事には、Drift が 2.85 億米ドルのソーシャルエンジニアリング攻撃を受けたこと、ならびに Kelp DAO が 2.93 億米ドルの脆弱性攻撃を受けたことが含まれる。

よくある質問

今回の攻撃はいつ発生したのか？損失状況はどうなっているのか？

ブロックチェーン・セキュリティ企業 Blockaid が、米国東部時間 2026 年 5 月 6 日に X プラットフォーム上で発表した声明によれば、TrustedVolumes は継続的に攻撃を受けており、声明発表時点の損失は約 587 万米ドル。盗まれた資産には WETH、USDT、WBTC、USDC が含まれている。

攻撃者はどのような技術的脆弱性を悪用したのか？

Blockaid の声明によると、攻撃は TrustedVolumes が自ら管理するカスタム RFQ（見積もり依頼）交換プロキシ・コントラクトの脆弱性を悪用した。脆弱性はイーサリアム・ブロックチェーン上にデプロイされており、2025 年 3 月の 1inch Fusion V1 事件で問題となった脆弱性とは異なる技術コンポーネントだという。

今回の攻撃は 2025 年 3 月の 1inch 事件と関連があるのか？

Blockaid の声明によれば、2 回の攻撃は同一の実体によって実行された。2025 年 3 月には、同じ攻撃者が 1inch Fusion V1 コントラクトに対して攻撃を仕掛け、約 500 万米ドルの損失が発生した。今回も同一攻撃者による、別のコントラクト・コンポーネントへの二度目の攻撃だ。