Robo de Activos Digitales en TrustedVolumes
Un hacker ha comenzado a lavar activos digitales que formaban parte del robo de $6.7 millones del proveedor de liquidez TrustedVolumes, según informa la firma de ciberseguridad PeckShield. Esta firma afirma que nuevos datos muestran que el hacker ha comenzado a mover cientos de miles de dólares en Ethereum (ETH).
«El explotador de TrustedVolumes ha lavado $278,000 en fondos robados hasta ahora: depositaron 10.2 ETH ($23,600) en TornadoCash y lavaron 110 ETH ($250,000) a través de THORChain a BTC; también intentaron depositar 0.5 ETH en Railgun, pero cambiaron de opinión y lo devolvieron. TrustedVolumes fue explotado por aproximadamente $6.7 millones el 7 de mayo.»
TrustedVolumes ha manifestado su disposición a negociar una resolución con el hacker. La firma también ha enumerado tres direcciones de billetera, de las cuales dos contienen aproximadamente $3 millones y una $700,000 en activos criptográficos robados.
«Recientemente fuimos explotados… Estamos abiertos a una comunicación constructiva respecto a una recompensa por errores y una resolución mutuamente aceptable.»
Detalles del Ataque
La firma de seguridad blockchain QuillAudits ha señalado que el hacker pudo drenar millones en una sola transacción al explotar un defecto de diseño en el sistema de liquidación de órdenes personalizado de la plataforma.
TrustedVolumes opera como un creador de mercado y resolutor de 1inch, proporcionando liquidez en cadena a través de un proxy de Solicitud de Cotización (RFQ) personalizado. En un modelo RFQ, un creador pre-firma órdenes, cotizando un precio específico para un par de tokens determinado. Un tomador presenta esa cotización firmada al contrato de liquidación, que verifica la firma y ejecuta el intercambio de manera atómica.
El sistema se basa en tres garantías que trabajan en conjunto:
- El creador debe haber autorizado quién puede firmar órdenes en su nombre.
- Cada orden firmada debe ser completada solo una vez (protección contra repetición).
- La fuente de tokens para la ejecución debe ser el propio inventario autenticado del creador, no una dirección de terceros arbitraria.
En la implementación de TrustedVolumes, las tres garantías fallaron simultáneamente, y el atacante las explotó en una sola transacción compuesta.
