Por Vismaya V
4 min lectura
TrustedVolumes, un proveedor de liquidez utilizado por múltiples protocolos DeFi, fue víctima de un exploit que hasta el momento ha drenado alrededor de $6,7 millones en fondos.
El sistema de detección de exploits de la firma de análisis blockchain Blockaid identificó el contrato afectado como el resolver de TrustedVolumes en Ethereum, con el atacante extrayendo aproximadamente 1.291 WETH, 206.282 USDT, 16,93 WBTC y 1,26 millones de USDC.
La firma señaló que el exploiter es el mismo operador detrás del incidente de 1inch Fusion V1 de marzo de 2025, aunque esta vez aprovechó una vulnerabilidad diferente, en un proxy de swap RFQ personalizado controlado por TrustedVolumes.
Un proxy de swap RFQ, o solicitud de cotización, es un contrato que gestiona cotizaciones de precios e intercambios de tokens entre un creador de mercado y los traders.
TrustedVolumes confirmó la brecha, publicando tres direcciones de billetera que contienen los fondos robados —aproximadamente $3 millones, $3 millones y $700.000— y señaló que estaba "abierta a una comunicación constructiva sobre una recompensa por errores y una resolución mutuamente aceptable".
Hakan Unal, jefe de operaciones de seguridad senior de la firma de seguridad cripto Cyvers, dijo a Decrypt que la causa raíz fue una combinación de "registro de firmantes sin permisos, protección de repetición defectuosa y un campo de origen de transferencia no validado".
Las fallas permitieron al atacante actuar como un firmante de confianza y drenar víctimas sin autorización válida, con fondos enrutados a través del exchange ChangeNow —sin KYC y de alto riesgo— antes de ser convertidos a ETH, agregó.
"El daño podría haber sido mucho mayor", afirmó Unal. "Con la protección de repetición sin funcionar, el atacante podría haber drenado repetidamente cuentas aprobadas adicionales".
Decrypt contactó a TrustedVolumes para obtener comentarios.
El agregador DeFi 1inch rechazó los reportes que vinculaban a la plataforma directamente con la brecha, enmarcándola como un ataque al protocolo en sí.
"Podemos confirmar que ni 1inch ni ninguno de los protocolos de 1inch están involucrados", publicó 1inch. "No hay ningún impacto en los sistemas, la infraestructura o los fondos de los usuarios de 1inch".
"Desde una perspectiva de evaluación y monitoreo, estamos trabajando junto a nuestros socios de seguridad para entender los detalles de cómo ocurrió este exploit, e incorporaremos cualquier hallazgo relevante en nuestros procesos continuos de seguridad e integración", señaló un portavoz de 1inch a Decrypt.
Si un proveedor "no está disponible o está comprometido, los demás continúan atendiendo a los usuarios sin interrupciones", siendo esta "redundancia incorporada" un principio de diseño fundamental que "funcionó exactamente como se pretendía en este caso", agregó el portavoz.
"Si bien es cierto que 1inch usa a TrustedVolumes como resolver, somos uno de muchos. El enfoque de esta historia es en última instancia confuso y perjudicial", publicó Sergej Kunz, cofundador de 1inch.
"Lo que resulta llamativo del incidente de TrustedVolumes es que el mismo atacante golpeó dos veces, con meses de diferencia, contra contratos distintos", dijo Nick Harris, fundador y CEO de la plataforma de recuperación de criptoactivos CryptoCare, a Decrypt, describiendo al perpetrador como un "operador paciente y selectivo" más que un hacker oportunista. Advirtió que sobrevivir a un exploit no necesariamente cierra el riesgo, sino que puede "abrir uno nuevo".
El exploit de TrustedVolumes se produce tras un período brutal para el DeFi, con hackers norcoreanos drenando $285 millones del Protocolo Drift y Kelp DAO perdiendo $293 millones en un ataque que atribuyó a una infraestructura LayerZero comprometida.
El hackeo de Kelp se ha trasladado desde entonces a un tribunal federal de Estados Unidos, donde Aave lucha por desbloquear $71 millones en fondos de usuarios congelados en Arbitrum.
Decrypt-a-cookie
This website or its third-party tools use cookies. Cookie policy By clicking the accept button, you agree to the use of cookies.