TrustedVolumes, un proveedor de liquidez utilizado por múltiples protocolos DeFi, fue afectado por una explotación que hasta ahora ha drenado alrededor de $6.7 millones en fondos.

El sistema de detección de explotaciones de la firma de análisis blockchain Blockaid identificó el contrato víctima como el resolutor de TrustedVolumes en Ethereum, con el atacante extrayendo aproximadamente 1,291 WETH, 206,282 USDT, 16.93 WBTC y 1.26 millones de USDC.

La firma señaló al explotador como el mismo operador detrás del incidente de 1inch Fusion V1 de marzo de 2025, aprovechando una vulnerabilidad diferente, esta vez en un proxy de swap RFQ personalizado controlado por TrustedVolumes.

Un proxy de swap RFQ, o solicitud de cotización, es un contrato que maneja las cotizaciones de precios y los intercambios de tokens entre un creador de mercado y los operadores.

TrustedVolumes confirmó la brecha, publicando tres direcciones de billetera que contienen los fondos robados, aproximadamente $3 millones, $3 millones y $700,000, y dijo que estaba "abierta a una comunicación constructiva con respecto a una recompensa por errores y una resolución mutuamente aceptable".

Hakan Unal, líder senior de operaciones de seguridad en la firma de seguridad cripto Cyvers, dijo a Decrypt que la causa raíz fue una combinación de "registro de firmante sin permiso, protección contra repeticiones rota y un campo de origen de transferencia no validado".

Los fallos permitieron al atacante actuar como un firmante de confianza y drenar a las víctimas sin autorización válida, con fondos enrutados a través del exchange de alto riesgo sin KYC ChangeNow antes de ser intercambiados por ETH, añadió.

"El daño podría haber sido mucho mayor", dijo Unal. "Con la protección contra repeticiones no funcional, el atacante podría haber drenado repetidamente cuentas adicionales aprobadas".

Decrypt se ha puesto en contacto con TrustedVolumes para obtener comentarios.

1inch se distancia

El agregador DeFi 1inch se desmarcó después de que los informes vincularan la plataforma directamente con la brecha, enmarcándola como un ataque al propio protocolo.

"Podemos confirmar que ni 1inch ni ninguno de los protocolos de 1inch están involucrados", tuiteó 1inch. "No hay impacto en los sistemas, infraestructura o fondos de usuario de 1inch".

"Desde una perspectiva de investigación y monitoreo, estamos trabajando junto a nuestros socios de seguridad para comprender los detalles de cómo ocurrió esta explotación, e incorporaremos cualquier hallazgo relevante en nuestros procesos continuos de seguridad e integración", dijo un portavoz de 1inch a Decrypt.

Si un proveedor está "no disponible o comprometido, otros continúan sirviendo a los usuarios sin interrupción", siendo esta "redundancia incorporada" un principio de diseño central que "funcionó exactamente como se pretendía en este caso", añadió el portavoz.

"Si bien es cierto que 1inch utiliza TrustedVolumes como resolutor, somos uno de muchos. El enfoque de esta historia es en última instancia confuso y dañino", tuiteó el cofundador de 1inch, Sergej Kunz.

Ataques a DeFi

"Lo sorprendente del incidente de TrustedVolumes es que el mismo atacante golpeó dos veces, con meses de diferencia, contra diferentes contratos", dijo Nick Harris, fundador y CEO de la plataforma de recuperación de activos cripto CryptoCare, a Decrypt, describiendo al perpetrador como un "operador paciente y dirigido" en lugar de un hacker oportunista. Advirtió que sobrevivir a una explotación no cierra necesariamente el riesgo, sino que puede "abrir uno nuevo".

La explotación de TrustedVolumes sigue a un periodo brutal para DeFi, con hackers norcoreanos drenando $285 millones de Drift Protocol y Kelp DAO perdiendo $293 millones en un ataque que atribuyó a una infraestructura comprometida de LayerZero.

El hackeo de Kelp se ha extendido desde entonces a un tribunal federal de EE. UU., donde Aave está luchando por desbloquear $71 millones en fondos de usuarios congelados en Arbitrum.