TrustedVolumes, un creador de mercado de DeFi, perdió aproximadamente 6,7 millones de dólares en activos digitales después de que un atacante explotara una vulnerabilidad en su infraestructura de intercambio personalizada en Ethereum. La firma, que opera como resolver para el protocolo 1inch Fusion, confirmó la brecha y declaró que los fondos robados se encontraban en tres billeteras de Ethereum independientes.
"La causa raíz fue una combinación de registro de firmantes sin permiso, una protección contra repetición (replay protection) defectuosa y un campo de origen de transferencia no validado", dijo Hakan Unal, jefe de operaciones de seguridad de la firma de seguridad criptográfica Cyvers, a Decrypt. La firma de seguridad Blockaid fue la primera en alertar sobre la actividad no autorizada, y CertiK identificó más tarde el vector de ataque específico que permitió al explotador registrarse como firmante de confianza y drenar los fondos.
Los activos robados incluyen aproximadamente 1.291 Wrapped Ether (WETH), 1,26 millones de USDC, 206.282 USDT y 16,93 Wrapped Bitcoin (WBTC), según datos de Blockaid. TrustedVolumes confirmó la pérdida total y publicó las tres direcciones de billetera que contienen los fondos, con aproximadamente 3 millones, 3 millones y 700.000 dólares respectivamente. La firma dijo en X que estaba "abierta a una comunicación constructiva con respecto a una recompensa por errores y una resolución mutuamente aceptable".
El agregador de finanzas descentralizadas 1inch se distanció del incidente, enfatizando que su protocolo central y los fondos de los usuarios no se vieron comprometidos. TrustedVolumes opera sus propios contratos independientes y, aunque sirve como una de las muchas fuentes de liquidez para 1inch, el exploit se limitó a sus propios sistemas. "Podemos confirmar que ni 1inch ni ninguno de los protocolos de 1inch están involucrados", publicó la plataforma en X, agregando que el enfoque de algunos informes era "confuso y perjudicial".
Vector de ataque e implicaciones
La vulnerabilidad permitió al atacante obtener permisos autorizados mediante la llamada a una función pública, un fallo que, según los expertos en seguridad, podría haber provocado pérdidas aún mayores. "Con la protección contra repetición inoperativa, el atacante podría haber drenado potencialmente cuentas aprobadas adicionales de forma repetida", señaló Unal de Cyvers. El incidente resalta los persistentes desafíos de seguridad que enfrentan los protocolos DeFi que dependen de interacciones complejas de contratos inteligentes.
Según se informa, las firmas de análisis de blockchain han vinculado al atacante con un incidente anterior relacionado con 1inch Fusion en marzo de 2025, lo que sugiere un actor persistente que apunta a vulnerabilidades dentro del ecosistema DeFi. Por su parte, 1inch declaró que está trabajando con socios de seguridad para analizar el exploit e incorporar los hallazgos en sus procesos de seguridad e integración en curso.
Este artículo tiene fines informativos únicamente y no constituye asesoramiento de inversión.
