Exploit TrustedVolumes de 1inch : 5,9 M$ volés

Paragraphe d'ouverture

Le fournisseur de liquidité TrustedVolumes de 1inch a subi un exploit en cours qui a siphonné environ 5,9 M$, selon Blockaid et le reportage de The Block le 7 mai 2026. Blockaid attribue l'attaque à la même entité qui a exploité 1inch Fusion V1 en mars 2025, un incident qui avait retiré environ 5,0 M$ de ce protocole (The Block, 7 mai 2026). La récurrence d'un profil d'attaquant similaire soulève immédiatement des questions sur la répétabilité du vecteur d'exploit et sur l'adéquation des correctifs de sécurité déployés après l'incident de 2025. Les acteurs du marché ont réagi en temps réel à la divulgation, des observateurs on-chain et des services de conservation ayant signalé des adresses liées aux sorties de fonds. Ce rapport agrège des données publiques, des chronologies et des implications potentielles pour le secteur sans fournir de conseils d'investissement.

Contexte

La divulgation du 7 mai 2026 par The Block et Blockaid situe le dernier événement dans une courte chronologie : l'exploit Fusion V1 de mars 2025 (~5,0 M$) suivi par la brèche TrustedVolumes au début de mai 2026 (~5,9 M$). Cette séquence implique une augmentation d'environ 18 % d'une année sur l'autre des produits directs obtenus par l'attaquant, une comparaison non négligeable compte tenu de la nature concentrée de la liquidité en DeFi. L'attribution de Blockaid, bien qu'elle ne soit pas équivalente à une attribution légale, repose sur l'analyse de schémas transactionnels et la réutilisation d'adresses sur lesquelles les sociétés de sécurité s'appuient couramment ; le reportage initial de The Block contient les horodatages primaires et les totaux agrégés cités dans cet article (The Block, 7 mai 2026). Pour les contreparties institutionnelles surveillant le risque opérationnel, la récurrence augmente la probabilité que la vulnérabilité sous-jacente reste non corrigée ou ait été insuffisamment atténuée après l'incident de mars 2025.

Le composant affecté, TrustedVolumes, est la couche fournisseur de liquidité conçue pour soutenir les primitives de liquidité 1inch Fusion ; le rôle du module est d'agréger et de router la liquidité à travers les pools. Les exploits ciblant les couches d'agrégation compressent le risque systémique parce qu'ils peuvent toucher simultanément plusieurs pools et contreparties. Historiquement, les exploits DeFi de haut niveau qui ont frappé des couches d'agrégation ou de routage ont eu des effets de second ordre disproportionnés sur les protocoles adjacents — accélérant la réduction de levier et les retraits de liquidité même lorsque les pertes en dollars restent modestes par rapport aux piratages de plusieurs centaines de millions de dollars (par exemple, l'incident d'environ 600 M$ de Poly Network en 2021). L'événement TrustedVolumes est donc notable non seulement pour le chiffre de 5,9 M$ mais aussi pour le risque de distribution qu'il révèle au sein de la pile de composabilité de 1inch.

Les utilisateurs institutionnels doivent noter le calendrier et la dynamique de divulgation publique : l'exploit était décrit comme en cours par Blockaid au moment du reportage le 7 mai 2026, ce qui signifie que la remédiation, la récupération des fonds et le gel des avoirs étaient incomplets à la publication. Cela contraste avec certains incidents très médiatisés où des custodians centralisés ou des gardiens multisignatures ont pu interrompre l'activité immédiatement ; dans des environnements composables et sans permission, les mécanismes de gel exigent des dispositions architecturales préalables. La chronologie factuelle et l'historique de réexploitation font de la brèche TrustedVolumes un cas d'épreuve pour la réactivité de la gouvernance, l'adéquation des couvertures d'assurance et l'efficacité de la forensic sur la blockchain.

Analyse approfondie des données

L'estimation de Blockaid d'environ 5,9 M$ de fonds siphonnés se place à côté de la perte de Fusion V1 de mars 2025 d'environ 5,0 M$ ; ces deux points de données forment la base quantitative principale pour évaluer l'échelle de l'attaquant. Plus précisément, par un simple calcul arithmétique, l'événement le plus récent représente une augmentation d'environ 18 % de la valeur extraite par rapport à l'incident antérieur. The Block a rapporté la divulgation du 7 mai 2026 en citant l'analyse de Blockaid ; les deux constituent des sources primaires pour le calendrier et les valeurs agrégées. À titre de comparaison, le vol de Poly Network en 2021 a atteint environ 600 M$ avant des retours partiels — ce qui illustre que, bien que la perte TrustedVolumes soit significative pour les participants de 1inch, elle reste d'un ordre de grandeur inférieur aux plus grandes brèches historiques en DeFi.

Les détails transactionnels on-chain rapportés par les firmes de sécurité incluent typiquement des transferts horodatés, des sauts intermédiaires et des vecteurs de cash-out ; le commentaire public de Blockaid a identifié la réutilisation d'adresses et des schémas transactionnels cohérents avec l'exploit de mars 2025. Ce type d'empreinte comportementale augmente la confiance pour relier les incidents, mais n'équivaut pas à une attribution d'identité hors chaîne. D'un point de vue numérique, l'extraction répétée d'environ 5–6 M$ sur deux événements implique un corridor exploitable persistant dans l'architecture du protocole, susceptible d'être exploité de manière récurrente tant qu'un correctif complet ou une refonte du protocole n'est pas mis en œuvre.

Les signaux de marché autour de l'incident comptent également. Bien que le jeton de gouvernance 1INCH et Ethereum (ETH) restent les points de référence naturels pour les chocs de prix et de liquidité, le vecteur d'impact principal ici est opérationnel et lié au risque de contrepartie plutôt qu'à une contagion systémique qui ferait immédiatement bouger le marché crypto au sens large. Néanmoins, les custodians et les bourses répondent souvent en retirant des listes ou en suspendant temporairement les dépôts des tokens ou pools affectés — une mesure préventive qui peut provoquer une compression de liquidité localisée. Les investisseurs institutionnels devraient suivre les flux on-chain ultérieurs, toute procédure judiciaire ou dépôt réglementaire, et les déclarations de 1inch Labs ainsi que des principaux prestataires de conservation pour connaître les actions de remédiation concrètes.

Implications sectorielles

Les exploits récurrents sur une même famille de protocoles ont tendance à peser fortement sur les décisions d'adoption institutionnelle. Pour les teneurs de marché et les fournisseurs de liquidité qui intègrent le risque dans le pricing des positions AMM, une augmentation annuelle d'environ 18 % des produits d'attaquant sur la même classe de protocoles est un signal de réévaluation de l'exposition. Le coût de réputation pour 1inch pourrait se traduire par des spreads élargis, une participation réduite des LP et des surcharges de capital plus élevées de la part des contreparties qui appliquent des métriques de risque opérationnel sur mesure. En revanche, les protocoles qui