TrustedVolumes, un creador de mercado y resolvedor independiente utilizado por 1inch Fusion, confirmó haber sido explotado y dijo que alrededor de 6,7 millones de dólares en fondos robados se mantienen en tres direcciones de Ethereum.
En un publicación del jueves en X, el creador de mercado dijo que los fondos robados se dividieron en tres carteras, con dos direcciones que cada una contienen alrededor de 3 millones de dólares y una tercera que contiene alrededor de 700.000 dólares. TrustedVolumes dijo que estaba abierto a “comunicación constructiva” sobre una recompensa por errores y una “resolución mutuamente aceptable”.
La confirmación llegó después de que la empresa de seguridad Web3 Blockaid dijera que su sistema de detección de exploits había identificado un exploit de Ethereum en curso dirigido a TrustedVolumes. Blockaid dijo que el ataque involucró una infraestructura de intercambio personalizada controlada por TrustedVolumes. Blockaid estimó inicialmente que se habían extraído alrededor de 5,87 millones de dólares, incluidos Wrapped Ether, USDT, Wrapped Bitcoin y USDC.
La empresa de seguridad de blockchain CertiK dijo que el atacante se registró como firmante de orden permitido a través de una función pública, y luego utilizó esa autorización para ejecutar órdenes que transferían fondos de los objetivos.
El incidente destaca los riesgos alrededor de la infraestructura de terceros utilizada en la ejecución de intercambios descentralizados, donde los resolvedores y creadores de mercado pueden operar sus propios contratos incluso cuando el protocolo central y los usuarios ordinarios no se ven directamente afectados. TrustedVolumes opera de forma independiente como proveedor de liquidez para múltiples protocolos, incluido 1inch, que dijo que sus propios sistemas, infraestructura y fondos de usuarios no se vieron afectados.
Cointelegraph se puso en contacto con TrustedVolumes para obtener comentarios adicionales, pero no había recibido una respuesta al momento de la publicación.
Fuente: TrustedVolumes
1inch dice que ninguno de sus protocolos fue vulnerado
En una publicación en X, 1inch dijo que los informes que lo vinculaban directamente con el exploit de TrustedVolumes eran “engañosos”, agregando que “ni 1inch ni ninguno de los protocolos de 1inch están involucrados”. La plataforma dijo que no hubo “ningún impacto en los sistemas de 1inch, la infraestructura o los fondos de los usuarios”.
El cofundador de 1inch, Sergej Kunz, también dijo que TrustedVolumes opera de forma independiente y no es exclusivo de 1inch. “Si bien es cierto que 1inch usa TrustedVolumes como resolvedor, somos uno de muchos”, dijo Kunz.
Kunz dijo que la presentación del exploit como un incidente relacionado con 1inch era “confusa y perjudicial”, agregando que 1inch está monitoreando la situación con socios de seguridad y asistirá donde corresponda.
El investigador de seguridad Vladimir Sobolev, conocido como Officer’s Notes en X, también dijo a Cointelegraph que no había “ningún riesgo para los usuarios de 1inch”, agregando que el exploit estaba relacionado solo con TrustedVolumes.
Sobolev dijo que el exploit apunta a debilidades más amplias en las prácticas de seguridad criptográfica, donde las vulnerabilidades pueden producir pérdidas inmediatas.
“Nos falta seguridad en general. Las blockchains tienden a tener un pago inmediato”, dijo Sobolev a Cointelegraph. “Necesitamos prestar más atención a los interruptores de apagado, monitoreo, disyuntores, etc.”
Tanto Blockaid como Sobolev señalaron que el ataque fue llevado a cabo por el mismo operador responsable del exploit de 1inch Fusion V1 resolver de marzo de 2025. Sin embargo, Blockaid dijo que el último ataque involucró una vulnerabilidad diferente.
En marzo de 2025, 1inch dijo que una vulnerabilidad afectaba a los resolvers que utilizaban una implementación obsoleta de Fusion v1 en sus propios contratos, mientras que los fondos de los usuarios finales permanecían seguros. SlowMist luego rastreo alrededor de 5 millones de dólares en activos robados, incluidos USDC y Wrapped Ether.
1inch y el resolver afectado negociaron con el atacante, quien devolvió la mayoría de los fondos robados bajo un acuerdo de recompensa por errores, según 1inch y el postmortem de Decurity.
