Hacker drena $5.9M del proveedor de liquidez de Ethereum TrustedVolumes

TrustedVolumes, un proveedor de liquidez en la Blockchain Ethereum, perdió aproximadamente $5,9 millones en fondos a manos de un hacker el jueves.

El atacante logró explotar una vulnerabilidad dentro del sistema de trading personalizado utilizado por la plataforma y consiguió retirar los fondos, que incluían ETH, WBTC, así como las stablecoins USDT y USDC.

Qué Ocurrió

Según la firma de seguridad blockchain Blockaid, que detectó el exploit mientras ocurría, los fondos robados incluían 1.291 WETH, alrededor de 16,9 WBTC, aproximadamente 206.000 USDT y poco menos de 1,27 millones de USDC.

El ataque funcionó aprovechando un fallo de diseño en el sistema de liquidación de órdenes personalizado de TrustedVolumes, conocido como proxy de Request for Quote (RFQ).

GoPlus Security publicó un análisis que muestra que el atacante se registró como "firmante de órdenes" autorizado utilizando una función llamada "registerAllowedOrderSigner()" que era de acceso público.

La función permite a cualquiera designar su propia dirección como firmante válido para las operaciones que controlaba, y aunque normalmente eso sería inofensivo, la función de liquidación tenía un problema independiente: verificaba la autorización contra una dirección mientras en realidad extraía fondos de una diferente.

Según se detalla en un informe técnico publicado por el investigador de seguridad Defi Nerd, el atacante utilizó esa brecha para ejecutar cuatro transacciones de drenaje contra el contrato resolver de TrustedVolumes, que previamente había otorgado al proxy permiso para mover sus tokens.

Según ellos, cada vez, el proxy extraía activos del resolver y enviaba de vuelta solo una única unidad bruta de USDC. Luego el atacante convirtió el WETH robado de vuelta en ETH y lo envió todo a su propia billetera.

TrustedVolumes confirmó el exploit y publicó públicamente tres direcciones de billetera que contienen los fondos robados, pidiendo al hacker que se pusiera en contacto sobre una "recompensa por bug y una resolución mutuamente aceptable".

1inch Se Deslinda Mientras Continúan los Hackeos DeFi

Dado que TrustedVolumes funciona como proveedor de liquidez y market maker en 1inch, algunos informes iniciales enmarcaron el incidente como un exploit de 1inch.

Sin embargo, eso no es preciso, y tanto 1inch como Blockaid emitieron declaraciones aclarando que el protocolo en sí no fue comprometido y que ningún fondo de usuarios en 1inch se vio afectado. TrustedVolumes opera de forma independiente en múltiples plataformas, no exclusivamente en 1inch.

El ataque ocurrió durante un período especialmente difícil para el ecosistema descentralizado, ya que siguió a un catastrófico mes de abril, en el que se robaron más de $650 millones en criptomonedas de distintos proyectos.

KelpDAO y Drift Protocol fueron los más afectados, con $292 millones y $285,2 millones sustraídos respectivamente.

Así que con $5,9 millones, este último exploit es menor en escala. Pero la sofisticación técnica del enfoque —desplegar un contrato auxiliar, abusar del registro de firmantes de autoservicio y explotar una discrepancia entre el maker y la fuente de fondos en una sola transacción— lo coloca en una categoría diferente a la de un simple bug o mala configuración.

The post Hacker Drains $5.9M From Ethereum Liquidity Provider TrustedVolumes appeared first on CryptoPotato.