El proveedor de liquidez de 1inch, TrustedVolumes, sufre un hack: 6,7 millones de dólares fueron robados, el antiguo atacante vuelve a aparecer

El proveedor de liquidez 1inch y el solucionador de pedidos RFQ TrustedVolumes sufrió un hack el 7 de mayo, con una pérdida de aproximadamente 6,7 millones de dólares. The Defiant resume el incidente: el atacante se registró, a través de TrustedVolumes, como “signatario de pedidos autorizado” en el contrato proxy de su propio agente de transacciones RFQ, y luego utilizó ese permiso para vaciar los tokens previamente autorizados desde la cartera objetivo. 1inch ya se ha desvinculado públicamente: los contratos inteligentes principales, los sistemas del backend y los fondos en poder de los usuarios no fueron afectados; la vulnerabilidad está en el contrato proxy personalizado de TrustedVolumes.

Ruta del ataque: abuso de autorizaciones existentes de tokens usando la identidad de signatario de autorizaciones

Los detalles técnicos de este ataque:

Punto de la vulnerabilidad: una función pública del contrato proxy de transacciones RFQ personalizado de TrustedVolumes

Ruta del ataque: el atacante llama a esa función para registrarse como “signatario de pedidos autorizado” (authorised order signer)

Retiro real: tras obtener la autorización, utiliza las aprobaciones (token approvals) existentes del usuario para ese contrato proxy y transfiere los fondos desde múltiples carteras

Usuarios: no requiere firmar ninguna transacción nueva; solo con autorizaciones existentes se vacía el saldo

Lo más destacable de esta ruta de ataque es que, para los usuarios, no hay alertas de “una nueva transacción sospechosa” firmada; el ataque ocurre completamente a nivel de contrato. Esto recuerda a los usuarios de DeFi que deben revocar periódicamente las autorizaciones de tokens que ya no usan, incluso si se trata de protocolos de confianza.

La pérdida de 6,7 millones de dólares se compone de la limpieza simultánea de cuatro activos

Desglose de los activos robados:

1.291,16 WETH

206.282 USDT

16,939 WBTC

1.268.771 USDC

El reporte inicial de Blockaid muestra una pérdida de aproximadamente 5,87 millones de dólares; TrustedVolumes confirmó posteriormente el monto actualizado a 6,7 millones de dólares. La diferencia se debe al valor de los tokens y al seguimiento adicional de los fondos robados.

Declaración de desvinculación de 1inch: los contratos principales no se vieron afectados

Respuesta oficial de 1inch sobre el incidente:

Contrato inteligente de 1inch: no fue afectado

Sistema backend de 1inch: no fue afectado

Fondos en poder de usuarios de 1inch: no fue afectado

La vulnerabilidad de este caso está en el contrato proxy propio de TrustedVolumes, no en la infraestructura central de 1inch.

El significado práctico de esta desvinculación para los usuarios de DeFi: los usuarios que realizan transacciones habituales usando la interfaz principal de 1inch no se ven afectados por este incidente; pero quienes hayan autorizado token approvals al contrato proxy de TrustedVolumes, aunque no usen directamente 1inch, también podrían estar dentro del alcance afectado. La firma de análisis de seguridad Blockaid especula que el atacante de esta vez y el evento de ataque a 1inch Fusion v1 de marzo de 2025 podrían ser el mismo actor.

Próximos eventos concretos a rastrear: TrustedVolumes publica una recompensa (cointelegraph ya informó que abrió un bounty), el flujo de fondos desde la billetera del atacante y si 1inch introducirá nuevos requisitos de auditoría para el ecosistema de solucionadores RFQ.

Este artículo sobre el hack a TrustedVolumes, proveedor de liquidez de 1inch: 6,7 millones de dólares robados, el antiguo atacante vuelve a la escena, apareció por primera vez en 鏈新聞 ABMedia.