Oferta de recompensa tras un fallo que le costó 6,7 millones de dólares: TrustedVolumes propone hablar con el hacker
Hackeo a TrustedVolumes sacude al ecosistema DeFi.
La plataforma TrustedVolumes, a través de la cual se realizan operaciones de varios servicios de finanzas descentralizadas, perdió alrededor de $6,7 millones tras un ataque a uno de sus contratos inteligentes clave. Ante los informes sobre el hackeo, el servicio 1inch se apresuró a afirmar que su infraestructura no resultó afectada y que los fondos de los usuarios están seguros.
El ataque fue registrado por la empresa Blockaid. Según los especialistas, el atacante retiró del contrato TrustedVolumes más de 1290 WETH, más de 206.000 USDT, casi 17 WBTC y alrededor de 1,26 millones de USDC. Blockaid vinculó el ataque con el mismo operador que estuvo detrás del incidente con 1inch Fusion V1 en marzo de 2025. Entonces se explotó otra vulnerabilidad, y en el nuevo caso el atacante apuntó a un contrato proxy especial de TrustedVolumes usado para el intercambio de tokens mediante un mecanismo de solicitud de cotizaciones.
TrustedVolumes confirmó el hackeo y publicó las direcciones de las carteras donde se conservan los fondos robados. En dos direcciones hay aproximadamente $3 millones cada una, y en otra alrededor de $700.000. Los representantes de la plataforma declararon que están dispuestos a discutir una recompensa por la vulnerabilidad encontrada y una posible solución al problema.
El responsable de seguridad de Cyvers, Hakan Unal, informó que la causa del ataque fue la combinación de varios problemas en el código. El contrato permitía registrar firmantes de confianza sin restricciones, verificaba de forma incorrecta la protección contra la reproducción de transacciones y no validaba la fuente de las transferencias. Gracias a esos errores, el atacante pudo hacerse pasar por un nodo de confianza y retirar activos sin autorización de los propietarios.
Según Unal, los fondos robados pasaron por el servicio de intercambio de criptomonedas ChangeNow, que no exige verificación de identidad obligatoria de los clientes, tras lo cual fueron convertidos a Ethereum. El especialista añadió que el perjuicio podría haber sido mucho mayor, pues el mecanismo de protección defectuoso permitía atacar repetidamente las mismas cuentas.
Tras las publicaciones que relacionaban el incidente con 1inch, los representantes del servicio subrayaron que el hackeo no afectó ni a la plataforma ni a los fondos de los usuarios. En la empresa explicaron que TrustedVolumes opera de forma independiente y es solo uno de los muchos proveedores de liquidez conectados al sistema.
El cofundador de 1inch, Sergey Kunz, declaró que los mensajes sobre el «hackeo de 1inch» confunden a los usuarios y dañan la reputación de la plataforma. Los representantes del servicio también informaron que, junto con sus socios de seguridad, continúan analizando los detalles del ataque y tendrán en cuenta las conclusiones en la revisión continua de las integraciones.
El incidente fue otro golpe para el sector de las finanzas descentralizadas. Anteriormente, hackers norcoreanos robaron $285 millones a Drift Protocol, y Kelp DAO perdió $293 millones tras la compromisión de la infraestructura de LayerZero. Más tarde, el caso de Kelp DAO llegó a un tribunal federal de EE. UU., donde la plataforma Aave intenta lograr el descongelamiento de $71 millones de fondos de usuarios en la red Arbitrum.