Conclusiones clave
Según la empresa de seguridad blockchain PeckShield, el protocolo de finanzas descentralizadas Trusted Volumes perdió aproximadamente 5,9 millones de dólares en activos digitales después de que un atacante explotara una falla crítica en su contrato inteligente.
"Nuestro análisis muestra que el hackeo fue causado por un error lógico dentro de la función fillOrder del protocolo, lo que permitió al atacante eludir la verificación de la firma", dijo un portavoz de PeckShield en un informe post-mortem. La firma de seguridad blockchain SlowMist también confirmó los detalles del exploit.
El valor total extraído del proveedor de liquidez para la red 1inch incluyó 1.291 ETH (3,02 millones de dólares), 16,94 WBTC (1,37 millones de dólares), 1,26 millones de USDC y 206.000 USDT. Los datos on-chain muestran que el atacante comenzó a lavar los fondos de inmediato, convirtiendo las stablecoins y el WBTC en 2.513 ETH a través de un intercambio descentralizado.
El incidente resalta los riesgos de seguridad inherentes a los protocolos DeFi de solicitud de cotización (RFQ), que requieren amplios permisos de usuario para mover fondos. Si bien la cantidad no es una amenaza sistémica, socava la confianza del usuario y refuerza la narrativa de alto riesgo que rodea a los proyectos DeFi más pequeños y menos auditados.
Trusted Volumes opera como una mesa de negociación extrabursátil (OTC) descentralizada que utiliza un sistema RFQ, que facilita el comercio entre pares. En este modelo, un "taker" solicita una cotización de precio y un "maker" proporciona una. Ambas partes firman la orden, que luego es liquidada por un contrato inteligente. La seguridad de todo este sistema depende de una verificación de firma criptográfica impecable.
El atacante encontró una vulnerabilidad en la lógica de validación de firmas de la función fillOrder. Esto les permitió falsificar órdenes de trading sin la autorización adecuada, drenando efectivamente los fondos que los usuarios habían aprobado para que el protocolo los gestionara. El intercambio descentralizado 1inch, que utiliza Trusted Volumes como proveedor de liquidez, confirmó que sus propios sistemas no se vieron afectados por la brecha.
Este exploit sirve como un recordatorio contundente de las constantes amenazas dentro del espacio DeFi. A medida que los atacantes se vuelven más sofisticados, la necesidad de auditorías de código rigurosas y mejores prácticas de seguridad se vuelve cada vez más crítica para los protocolos que manejan fondos de usuarios.
Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.
