observatorioblockchain.com
TrustedVolumes, uno de los principales proveedores de liquidez y market maker (MM) del ecosistema DeFi, especialmente en la solución de intents de 1inch Fusion, ha perdido alrededor de 6,7 millones de dólares tras sufrir un exploit. En un comunicado oficial publicado en X, el equipo confirmó el incidente y detalló las direcciones a las que el atacante envió los fondos robados.
El atacante convirtió rápidamente los tokens en ETH y los distribuyó en tres direcciones. En su primer tuit en más de dos años, la compañía aseguró «estar abierta a mantener una comunicación constructiva sobre una posible recompensa por el bug y alcanzar una solución mutuamente aceptable».
Segunda vez del mismo atacante
Esta es la segunda vez que el mismo operador, presuntamente, golpea a TrustedVolumes. En marzo de 2025, la empresa perdió cerca de 5 millones de dólares debido a una vulnerabilidad en el Settlement contract de 1inch Fusion V1. En aquella ocasión, el atacante negoció la devolución de parte de los fondos a cambio de una recompensa.
Así se defienden los protocolos DeFi del riesgo permanente de hackeo
Según los análisis iniciales, el atacante explotó el Custom RFQ Swap Proxy controlado por TrustedVolumes, un contrato encargado de gestionar órdenes de liquidez. Primero logró registrarse como autorizador de firmas mediante una función pública sin control de acceso y luego aprovechó aprobaciones históricas ilimitadas para drenar los fondos del resolver sin necesidad de nuevas confirmaciones por parte de los usuarios.
Por su parte, 1inch Network aclaró rápidamente, a través de su cofundador Sergej Kunz, que ni sus protocolos, infraestructura, ni los fondos de los usuarios fueron afectados. TrustedVolumes opera como proveedor independiente de liquidez, por lo que el incidente quedó limitado a su propio contrato resolver.
Riesgos de resolvers y proxies
Este caso vuelve a poner el foco sobre los riesgos de los resolvers y proxies personalizados en los sistemas de intents, como 1inch Fusion. Estos contratos manejan cientos de millones de dólares en liquidez, pero en ocasiones quedan fuera del alcance de las auditorías principales.