Incidente de Seguridad en TrustedVolumes
TrustedVolumes, un proveedor de liquidez y creador de mercado conectado a 1inch, fue víctima de un exploit que drenó aproximadamente $5.87 millones de su contrato de resolutor de Ethereum, según la firma de seguridad blockchain Blockaid. Los activos robados incluyeron:
- 1,291.16 WETH
- 206,282 USDT
- 16.939 WBTC
- 1,268,771 USDC
El ataque afectó a un proxy de intercambio RFQ personalizado controlado por TrustedVolumes, y no a una ruta de intercambio estándar utilizada por los usuarios. Blockaid informó que el atacante estaba vinculado al exploit de 1inch Fusion V1 ocurrido en marzo de 2025. Sin embargo, la firma indicó que en este último caso se utilizó una vulnerabilidad diferente relacionada con el proxy de intercambio RFQ personalizado de TrustedVolumes.
Impacto de los Ataques en el Ecosistema DeFi
El incidente de marzo de 2025 también afectó a resolutores de terceros que utilizaban 1inch Fusion V1. BlockSec posteriormente señaló que ese exploit causó más de $5 millones en pérdidas, debido a que los atacantes abusaron del manejo inseguro de calldata y de las suposiciones de confianza del resolutor.
«CertiK Alert, citado por Binance News, mencionó que el atacante utilizó una función pública para registrarse como AllowedOrderSigner. Luego, ejecutó órdenes que movieron fondos preautorizados desde la dirección de la víctima.»
CertiK aconsejó a los usuarios revocar las aprobaciones vinculadas al contrato afectado. El ataque a TrustedVolumes se produjo tras un abril complicado para la seguridad en DeFi. Crypto.news informó que los protocolos perdieron más de $606 millones en los primeros 18 días de abril, según datos de DefiLlama. Este total fue liderado por dos grandes incidentes:
- Drift Protocol perdió alrededor de $285 millones
- Kelp DAO perdió aproximadamente $292 millones
Crypto.news indicó que estos dos exploits representaron la mayor parte de las pérdidas registradas en abril hasta ese momento. En una actualización separada, Crypto.news reportó que Wasabi Protocol perdió más de $5 millones en Ethereum, Base, Berachain y Blast. Las firmas de seguridad señalaron que una clave de administrador comprometida permitió a los atacantes actualizar contratos y drenar fondos.
Lecciones Aprendidas
El caso de TrustedVolumes vuelve a poner de relieve la importancia de los contratos de resolutor, los sistemas de aprobación y las herramientas de creación de mercado personalizadas. Estos sistemas a menudo requieren permisos especiales para mover fondos y completar intercambios rápidamente. Esta estructura puede generar riesgos cuando los permisos permanecen activos después de que los contratos se vuelven vulnerables.
Además, puede aumentar las pérdidas cuando los atacantes logran actuar como firmantes de confianza o enrutar fondos a través de contratos aprobados. Es importante destacar que el incidente no indica que todos los usuarios de 1inch se hayan visto afectados directamente; los informes disponibles apuntan a la configuración de resolutor y proxy RFQ de TrustedVolumes como el área comprometida.
