Exploit TrustedVolumes di 1inch prosciuga $5,9M

Paragrafo introduttivo

L'LP (fornitore di liquidità) TrustedVolumes di 1inch ha subito un exploit in corso che ha prosciugato circa $5,9 milioni, secondo Blockaid e il reportage di The Block del 7 maggio 2026. Blockaid attribuisce l'attacco alla stessa entità che ha sfruttato 1inch Fusion V1 nel marzo 2025, un incidente che ha sottratto approssimativamente $5,0 milioni a quel protocollo (The Block, 7 maggio 2026). Il ripetersi di un profilo dell'attaccante simile solleva interrogativi immediati sulla ripetibilità del vettore di exploit e sull'adeguatezza degli aggiornamenti di sicurezza implementati dopo l'incidente del 2025. I partecipanti al mercato hanno reagito in tempo reale alla divulgazione, con osservatori on-chain e servizi di custodia che hanno segnalato indirizzi legati alle fuoriuscite di fondi. Questo rapporto aggrega dati di fonte pubblica, timeline e potenziali implicazioni di settore senza fornire consulenza d'investimento.

Contesto

La divulgazione del 7 maggio 2026 da parte di The Block e Blockaid colloca l'evento recente in una breve cronologia: exploit di Fusion V1 nel marzo 2025 (~$5,0M) seguito dalla violazione di TrustedVolumes all'inizio di maggio 2026 (~$5,9M). Questa sequenza implica un aumento anno su anno dei proventi diretti dell'attaccante di circa il 18%, un confronto non banale dato il carattere concentrato della liquidità DeFi. L'attribuzione di Blockaid, pur non essendo equivalente all'attribuzione legale, si basa su analisi dei modelli di transazione e sul riutilizzo di indirizzi su cui le società di sicurezza fanno comunemente affidamento; il reportage iniziale di The Block contiene i timestamp primari e i totali aggregati citati in questo articolo (The Block, 7 maggio 2026). Per le controparti istituzionali che monitorano il rischio operativo, la ricorrenza aumenta la probabilità che la vulnerabilità sottostante rimanga non patchata o sia stata mitigata in modo insufficiente dopo l'incidente del marzo 2025.

Il componente interessato, TrustedVolumes, è il livello fornitore di liquidità progettato per supportare le primitive di liquidità di 1inch Fusion; il ruolo del modulo è aggregare e instradare liquidità tra pool. Gli exploit contro i livelli di aggregazione comprimono il rischio sistemico perché possono coinvolgere più pool e controparti simultaneamente. Storicamente, exploit di alto profilo in DeFi che hanno colpito livelli di aggregazione o instradamento hanno generato effetti di secondo ordine superiori sui protocolli adiacenti — accelerando deleveraging e prelievi di liquidità anche quando le perdite in valore assoluto sono modeste rispetto a furti da centinaia di milioni (per esempio, l'incidente di Poly Network da circa $600M nel 2021). L'evento TrustedVolumes è quindi degno di nota non solo per il headline di $5,9M ma per il rischio distributivo che rivela all'interno dello stack di composabilità di 1inch.

Gli utenti istituzionali dovrebbero notare tempistiche e dinamiche di divulgazione pubblica: l'exploit è stato descritto come in corso da Blockaid al momento della segnalazione del 7 maggio 2026, il che significa che le attività di rimedio, il recupero dei fondi e il congelamento delle risorse erano incomplete alla pubblicazione. Ciò contrasta con alcuni incidenti passati di alto profilo in cui custodi centralizzati o guardian multisig potevano sospendere l'attività immediatamente; in ambienti composabili e permissionless, i meccanismi di freeze richiedono previsioni architetturali. La timeline fattuale e la storia di exploit ripetuti rendono la violazione di TrustedVolumes un caso di prova per la reattività della governance, l'adeguatezza delle coperture assicurative e le capacità di forense on-chain.

Approfondimento dei dati

La stima di Blockaid di quasi $5,9 milioni in fondi prosciugati si pone accanto alla perdita di circa $5,0 milioni di Fusion V1 del marzo 2025; questi due punti dati formano la base quantitativa per valutare la scala dell'attaccante. Specificamente, mediante aritmetica semplice, l'evento più recente rappresenta un aumento di valore estratto di circa il 18% rispetto all'incidente precedente. The Block ha riportato la divulgazione del 7 maggio 2026 citando l'analisi di Blockaid; entrambe sono fonti primarie per tempistiche e valori aggregati. Per confronto, il furto del 2021 su Poly Network raggiunse all'incirca $600 milioni prima di parziali restituzioni — il che illustra che, pur essendo la perdita TrustedVolumes significativa per i partecipanti a 1inch, è di un ordine di grandezza inferiore rispetto ai più grandi breach storici in DeFi.

I dettagli delle transazioni on-chain riportati dalle società di sicurezza tipicamente includono trasferimenti con timestamp, passaggi intermedi e vettori di cash-out; il commento pubblico di Blockaid ha identificato il riutilizzo di indirizzi e pattern transazionali coerenti con l'exploit di marzo 2025. Questo tipo di fingerprint comportamentale aumenta la fiducia nel collegamento tra gli incidenti, ma non equivale ad un'attribuzione dell'identità off-chain. Da un punto di vista numerico, l'estrazione ripetuta di circa $5–6 milioni in due eventi implica un corridoio sfruttabile persistente nell'architettura del protocollo, suscettibile di sfruttamento ricorrente fino all'implementazione di una patch esaustiva o di una riprogettazione del protocollo.

Anche i segnali di mercato attorno all'incidente sono importanti. Sebbene il token di governance di 1inch, 1INCH, e Ethereum (ETH) rimangano punti di riferimento naturali per shock di prezzo e liquidità, il vettore d'impatto primario qui è il rischio operativo e di credito della controparte piuttosto che una contagione sistemica che muova immediatamente il mercato crypto più ampio. Nonostante ciò, custodi e exchange rispondono spesso delistando o sospendendo temporaneamente i depositi dei token o dei pool coinvolti — una misura preventiva che può causare compressione di liquidità locali. Gli investitori istituzionali dovrebbero monitorare i successivi flussi on-chain, eventuali atti giudiziari o segnalazioni regolamentari e le dichiarazioni di 1inch Labs e dei principali fornitori di custodia per azioni concrete di rimedio.

Implicazioni per il settore

Gli exploit ricorrenti sulla stessa famiglia di protocolli tendono ad avere implicazioni sproporzionate per le decisioni di adozione istituzionale. Per market maker e fornitori di liquidità che prezzano il rischio nelle posizioni di automated market maker, un aumento del 18% anno su anno nei proventi dell'attaccante sulla stessa classe di protocolli è un segnale per rivedere l'esposizione. Il costo reputazionale per 1inch potrebbe manifestarsi in spread più ampi, ridotta partecipazione degli LP e maggiori requisiti di capitale da parte delle controparti che applicano metriche operative di rischio personalizzate. Per contro, i protocolli che