El creador de mercado TrustedVolumes de 1inch sufre un ataque y las pérdidas ascienden a 5,87 millones de dólares

La empresa de seguridad blockchain Blockaid publicó en X el 6 de mayo, hora del Este de EE. UU., que el agregador de liquidez de un exchange descentralizado 1inch, sus proveedores de liquidez y el creador de mercado TrustedVolumes están sufriendo un ataque continuo. Al momento de la declaración de Blockaid, la pérdida ya asciende a aproximadamente 5,87 millones de dólares.

Detalles técnicos del ataque: vulnerabilidad en el contrato de proxy de intercambio RFQ

De acuerdo con la declaración de Blockaid, la vulnerabilidad explotada en este ataque está en el contrato de proxy de intercambio personalizado de RFQ (Request for Quote, solicitud de cotización) que controla TrustedVolumes, y pertenece a componentes técnicos distintos a los involucrados en el incidente de 1inch Fusion V1 del 1 de marzo de 2025.

Blockaid dio a conocer que, al momento de la publicación de la declaración, el desglose de los activos robados es el siguiente:

WETH (Wrapped Ether)：1.291,16 unidades

USDT：206.282 unidades

WBTC (Wrapped Bitcoin)：16,939 unidades

USDC：1.268.771 unidades

Instituciones involucradas：1inch, TrustedVolumes y Blockaid

Según la declaración de Blockaid, el incidente de ataque a 1inch Fusion V1 en marzo de 2025 y este nuevo evento fueron perpetrados por el mismo atacante; las vulnerabilidades técnicas utilizadas en ambos ataques son diferentes. Fusion V1 y el contrato de proxy de intercambio RFQ de TrustedVolumes, que resultó afectado en esta ocasión, corresponden a componentes independientes.

Dato clave: antecedentes de incidentes de seguridad en DeFi

Con base en estadísticas del agregador de datos on-chain DefiLlama, los ataques de piratas informáticos y la explotación de vulnerabilidades en abril de 2026 provocaron pérdidas por 635,2 millones de dólares, registrando el mayor monto de pérdidas mensuales desde febrero de 2025 (cuando Bybit sufrió una pérdida cercana a 1,5 mil millones de dólares).

De acuerdo con The Block, el ataque contra TrustedVolumes es el quinto gran incidente de explotación de vulnerabilidades desde principios de mayo de 2026. Entre los hechos relevantes en el mismo periodo se incluyen: un ataque de ingeniería social contra Drift por 285 millones de dólares y un ataque de explotación de vulnerabilidades contra Kelp DAO por 293 millones de dólares.

Preguntas frecuentes

¿Cuándo ocurrió este ataque? ¿Cómo es el estado de las pérdidas?

Según una declaración publicada en X por la empresa de seguridad blockchain Blockaid el 6 de mayo de 2026 (hora del Este de EE. UU.), TrustedVolumes sufrió un ataque continuo. Al momento de la publicación de la declaración, la pérdida ya ascendía a aproximadamente 5,87 millones de dólares. Los activos robados incluyen WETH, USDT, WBTC y USDC.

¿Qué tipo de vulnerabilidad técnica utilizó el atacante?

Según la declaración de Blockaid, el ataque explotó una vulnerabilidad en el contrato de proxy de intercambio RFQ (solicitud de cotización) personalizado que controla TrustedVolumes. Fue implementado en la cadena de bloques Ethereum y corresponde a un componente técnico distinto al involucrado en el incidente 1inch Fusion V1 de marzo de 2025.

¿Este ataque está relacionado con el evento de 1inch de marzo de 2025?

Según la declaración de Blockaid, ambos ataques fueron ejecutados por la misma entidad. En marzo de 2025, el mismo atacante lanzó un ataque contra el contrato de 1inch Fusion V1, lo que provocó pérdidas de aproximadamente 5 millones de dólares; esta vez, también fue un segundo ataque del mismo atacante, pero dirigido a componentes de contrato distintos.