Cargando precios...
Registrarse
BlockchainProyectos y CriptomonedasRegulación y LegislaciónSeguridad y PrivacidadTecnologías y Protocolos

TrustedVolumes sufre un exploit de $6.7 millones; 1inch afirma que su protocolo no fue vulnerado

Arturo Trenard Arturo Trenard · · 4 min de lectura
Únete a nuestro Canal de Telegram

TrustedVolumes sufre un exploit de $6.7 millones; 1inch afirma que su protocolo no fue vulnerado

TrustedVolumes, un market maker y resolver independiente utilizado por el protocolo de finanzas descentralizadas (DeFi) 1inch Fusion, confirmó haber sido víctima de un exploit que resultó en el robo de aproximadamente $6.7 millones en criptoactivos en la blockchain de Ethereum.

La compañía publicó en la red social X que los fondos robados se encuentran distribuidos en tres direcciones de Ethereum. Dos de estas direcciones contienen aproximadamente $3 millones cada una, mientras que una tercera alberga cerca de $700,000. TrustedVolumes se mostró abierta a una «comunicación constructiva» para una bug bounty y una «resolución mutuamente aceptable» con el atacante.

Detección temprana por Blockaid y CertiK

La confirmación por parte de TrustedVolumes llegó después de que la firma de seguridad Web3 Blockaid identificara el exploit en curso. Según Blockaid, el ataque involucró una infraestructura de swap personalizada controlada por TrustedVolumes, y su estimación inicial de pérdidas fue de aproximadamente $5.87 millones, incluyendo Wrapped Ether (WETH), USDT, Wrapped Bitcoin (WBTC) y USDC.

Por su parte, la firma de seguridad blockchain CertiK detalló el mecanismo del ataque: el atacante se registró como un «firmante de órdenes autorizado» a través de una función pública del contrato inteligente de TrustedVolumes. Una vez obtenida esa autorización, el agresor ejecutó órdenes que transfirieron fondos desde las cuentas objetivo.

1inch desmiente cualquier vinculación directa

Tras la difusión de la noticia, 1inch emitió un comunicado en X calificando de «engañosos» los informes que vinculaban directamente al protocolo con el exploit.

«Ni 1inch ni ninguno de sus protocolos están involucrados», afirmó la compañía, asegurando que no hay impacto en sus sistemas, infraestructura o fondos de usuarios.

Sergej Kunz, cofundador de 1inch, profundizó en la aclaración durante declaraciones a medios especializados. «TrustedVolumes opera de forma independiente y no es exclusivo de 1inch. Si bien es cierto que 1inch usa TrustedVolumes como resolver, somos uno más entre muchos», explicó Kunz.

El cofundador calificó el encuadre del exploit como un incidente relacionado con 1inch de «confuso y dañino», y aseguró que están monitoreando la situación con sus socios de seguridad.

Reacciones de la comunidad y expertos en seguridad

Vladimir Sobolev, investigador de seguridad conocido bajo el alias Officer’s Notes, reiteró que «no hay riesgo para los usuarios de 1inch», ya que el exploit solo afectó a TrustedVolumes.

Sin embargo, Sobolev aprovechó para señalar las debilidades generales en las prácticas de seguridad del ecosistema cripto. «Carecemos de seguridad en general. Las blockchains tienden a tener una recompensa inmediata», afirmó el investigador, quien hizo un llamado a prestar más atención a los mecanismos de protección como kill switches, monitoreo y circuit breakers.

Contexto: un historial de exploits relacionados

Blockaid y Sobolev señalaron que el ataque fue realizado por el mismo operador responsable del exploit que afectó a un resolver de 1inch Fusion V1 en marzo de 2025. No obstante, el ataque más reciente involucró una vulnerabilidad diferente.

En el exploit de marzo de 2025, los atacantes apuntaron a resolvers que utilizaban una implementación obsoleta de Fusion v1 en sus propios contratos inteligentes. En aquella ocasión, los fondos de los usuarios finales se mantuvieron seguros. La firma de seguridad SlowMist rastreó aproximadamente $5 millones en activos robados, principalmente USDC y WETH.

La resolución de aquel incidente llegó cuando 1inch y el resolver afectado negociaron con el atacante, quien devolvió la mayoría de los fondos bajo un acuerdo de bug bounty, según confirmaron 1inch y la firma de seguridad Decurity en su autopsia del incidente.

Riesgos en la infraestructura DeFi de terceros

El incidente con TrustedVolumes pone de relieve los riesgos inherentes a la infraestructura de terceros utilizada en la ejecución de exchanges descentralizados (DEX). En el ecosistema DeFi, los resolvers y market makers pueden operar sus propios contratos inteligentes, los cuales, aunque independientes del protocolo central, presentan vectores de ataque potenciales.

Un resolver es un componente que busca la mejor ruta de intercambio para los usuarios en un DEX, mientras que un market maker provee liquidez para facilitar estas operaciones. En el caso de 1inch Fusion, TrustedVolumes actuaba como uno de los múltiples resolvers que compiten para ejecutar órdenes de intercambio.

Aunque el núcleo del protocolo y los usuarios comunes pueden no verse directamente afectados por este tipo de incidentes, la confianza en el ecosistema en su conjunto se ve comprometida, renovando el debate sobre la necesidad de estándares de seguridad más rigurosos para los actores secundarios que participan en la infraestructura DeFi.

Click to rate this post!
[Total: 0 Average: 0]
Compartir: Facebook Instagram X WhatsApp Telegram LinkedIn Copiar enlace

Noticias Relacionadas