El proveedor de liquidez 1inch y el solucionador de pedidos RFQ TrustedVolumes sufrió un hack el 7 de mayo, con una pérdida de aproximadamente 6,7 millones de dólares. The Defiant resume el incidente: el atacante se registró, a través de TrustedVolumes, como “signatario de pedidos autorizado” en el contrato proxy de su propio agente de transacciones RFQ, y luego utilizó ese permiso para vaciar los tokens previamente autorizados desde la cartera objetivo. 1inch ya se ha desvinculado públicamente: los contratos inteligentes principales, los sistemas del backend y los fondos en poder de los usuarios no fueron afectados; la vulnerabilidad está en el contrato proxy personalizado de TrustedVolumes.
Ruta del ataque: abuso de autorizaciones existentes de tokens usando la identidad de signatario de autorizaciones
Los detalles técnicos de este ataque:
Punto de la vulnerabilidad: una función pública del contrato proxy de transacciones RFQ personalizado de TrustedVolumes
Ruta del ataque: el atacante llama a esa función para registrarse como “signatario de pedidos autorizado” (authorised order signer)
Retiro real: tras obtener la autorización, utiliza las aprobaciones (token approvals) existentes del usuario para ese contrato proxy y transfiere los fondos desde múltiples carteras
Usuarios: no requiere firmar ninguna transacción nueva; solo con autorizaciones existentes se vacía el saldo
Lo más destacable de esta ruta de ataque es que, para los usuarios, no hay alertas de “una nueva transacción sospechosa” firmada; el ataque ocurre completamente a nivel de contrato. Esto recuerda a los usuarios de DeFi que deben revocar periódicamente las autorizaciones de tokens que ya no usan, incluso si se trata de protocolos de confianza.
La pérdida de 6,7 millones de dólares se compone de la limpieza simultánea de cuatro activos
Desglose de los activos robados:
1.291,16 WETH
206.282 USDT
16,939 WBTC
1.268.771 USDC
El reporte inicial de Blockaid muestra una pérdida de aproximadamente 5,87 millones de dólares; TrustedVolumes confirmó posteriormente el monto actualizado a 6,7 millones de dólares. La diferencia se debe al valor de los tokens y al seguimiento adicional de los fondos robados.
Declaración de desvinculación de 1inch: los contratos principales no se vieron afectados
Respuesta oficial de 1inch sobre el incidente:
Contrato inteligente de 1inch: no fue afectado
Sistema backend de 1inch: no fue afectado
Fondos en poder de usuarios de 1inch: no fue afectado
La vulnerabilidad de este caso está en el contrato proxy propio de TrustedVolumes, no en la infraestructura central de 1inch.
El significado práctico de esta desvinculación para los usuarios de DeFi: los usuarios que realizan transacciones habituales usando la interfaz principal de 1inch no se ven afectados por este incidente; pero quienes hayan autorizado token approvals al contrato proxy de TrustedVolumes, aunque no usen directamente 1inch, también podrían estar dentro del alcance afectado. La firma de análisis de seguridad Blockaid especula que el atacante de esta vez y el evento de ataque a 1inch Fusion v1 de marzo de 2025 podrían ser el mismo actor.
Próximos eventos concretos a rastrear: TrustedVolumes publica una recompensa (cointelegraph ya informó que abrió un bounty), el flujo de fondos desde la billetera del atacante y si 1inch introducirá nuevos requisitos de auditoría para el ecosistema de solucionadores RFQ.
Este artículo sobre el hack a TrustedVolumes, proveedor de liquidez de 1inch: 6,7 millones de dólares robados, el antiguo atacante vuelve a la escena, apareció por primera vez en 鏈新聞 ABMedia.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
ZachXBT publica una recompensa $10K sobre el fundador de LAB por presuntas acusaciones de manipulación del mercado
El investigador de blockchain ZachXBT ha acusado a Vova Sadkov, fundador del proyecto de terminal de trading con IA LAB, de manipulación de mercado y está ofreciendo una recompensa de 10.000 USD por información relacionada con el supuesto fraude, según The Block.
Detalles de la recompensa y acusaciones
ZachXBT publicó en X el jueves: "$10K bounty
CryptoFrontierhace1h
El CEO de Project Eleven advierte que 2,3 billones de dólares en Bitcoin están en riesgo por los ordenadores cuánticos
En la conferencia Consensus en Miami, Alex Pruden, CEO de Project Eleven, advirtió que aproximadamente 2,3 billones de dólares en Bitcoin está expuesto a amenazas de la computación cuántica, y pidió a los desarrolladores que adopten firmas de criptografía poscuántica con antelación. Pruden subrayó que la transición de Bitcoin a cuántico-re
GateNewshace4h
Arbitrum desbloquea $71M en ETH tras la propuesta de recuperación del exploit de Kelp, que gana un 90,5% de apoyo de los votantes
De acuerdo con una propuesta cofirmada por Aave Labs, Kelp DAO, LayerZero, EtherFi y Compound, la gobernanza de Arbitrum votó el 7 de mayo para desbloquear 30,765 ETH (aproximadamente 71 millones de dólares) que estaban congelados después del exploit de Kelp DAO. Más del 90,5% del poder de voto, que representa 173,9 millones de tokens de Arbitrum, apoya
GateNewshace6h
$20M La víctima de una estafa de “pig butchering” presenta una demanda contra Citibank
Michael Zidell demanda a Citibank en un tribunal federal de Manhattan por $20M en transferencias de pig butchering, alegando negligencia en la AML y alertas ignoradas.
Resumen: El artículo describe la demanda de Michael Zidell contra Citibank en un tribunal federal de Manhattan, alegando que los controles AML negligentes permitieron que 20 millones de dólares fueran enviados a estafadores de pig butchering a través de cuentas vinculadas a Carolyn Parker y Guju Inc. Presenta el caso en medio del aumento de estafas cripto y vulnerabilidades sistémicas de AML entre fiat y cripto.
TodayqNewshace9h
Los hackeos de criptomonedas en agosto de 2025 costaron $163M en 16 incidentes: PeckShield
Este año, en agosto, el mercado cripto perdió 163 millones de dólares en 16 hackeos importantes; el mayor monto perdido fue de 91,4 millones de dólares por una entidad individual, y BtcTurk perdió 54 millones.
Las pérdidas en agosto de 2025 son un 15% mayores que el monto perdido en julio de este año, que fue de 142,16 millones de dólares; en junio, la pérdida colectiva
TodayqNewshace9h
