Puntos Clave de la Noticia:
- El exploit afectó al contrato resolver de TrustedVolumes el 7 de mayo de 2026, con una pérdida confirmada de 6,7 millones de dólares.
- Los activos drenados incluyen 1.291,16 WETH, 16,93 WBTC, además de cantidades significativas de USDT y USDC.
- Según informes de Blockaid, el atacante utilizó un proxy de intercambio RFQ personalizado para ejecutar la vulnerabilidad en la red Ethereum.
El proveedor de liquidez TrustedVolumes fue víctima de un exploit que resultó en el robo de $6,7 millones en activos digitales. El incidente, que ocurrió el jueves 7 de mayo y que fue detectado por Blockaid, comprometió fondos depositados en la red Ethereum mediante la manipulación de contratos inteligentes específicos del protocolo.
🚨 We were recently exploited.
The addresses currently holding the stolen funds are:
[https://t.co/Uffg1StIhA](https://t.co/Uffg1StIhA) — approx. $3M
[https://t.co/gUCDHwOOTC](https://t.co/gUCDHwOOTC) — approx. $3M
[https://t.co/68Lu7Bq0MJ]— TrustedVolumes (@trustedvolumes) May 7, 2026
Análisis técnico del ataque on-chain
El exploit se localizó en el contrato resolver de la plataforma, identificado en la dirección 0x9bA0…Ea31. Datos revelados por Blockaid indican que, la ejecución principal del ataque fue realizada desde la billetera 0xC3EB…9100. Los registros de Etherscan indican que inicialmente el atacante extrajo $5,87 millones, cifra que TrustedVolumes actualizó posteriormente a $6,7 millones tras una auditoría interna de daños.
Lo sustraído fue calificado de la siguiente manera: 1.291,16 WETH, 206.282 USDT, 16,939 WBTC y 1.268.771 USDC. Según la firma de seguridad PeckShieldAlert, el hacker usó un proxy de intercambio personalizado para convertir la diversidad de tokens en 2.513 ETH. Esta maniobra de consolidación sugiere una estrategia para facilitar el movimiento posterior de los fondos a través de mezcladores o servicios de salida.
Según el análisis de Blockaid el fallo se encuentra en el sistema RFQ (request-for-quote) de la empresa. Este fue diseñado para ofrecer cotizaciones personalizadas, presentaba una debilidad en su lógica de control que permitió la extracción no autorizada de liquidez.
Contexto de seguridad y antecedentes del atacante
Analistas de blockchain señalan una posible vinculación de este evento con el ataque sufrido por 1inch Fusion V1 en marzo de 2025. En aquel momento, el hacker obtuvo aproximadamente $5 millones. No obstante, en esta oportunidad la falla aprovechada es diferente técnicamente a la del incidente pasado, ya que se centra exclusivamente en la arquitectura RFQ de TrustedVolumes.
El inicio de mes para el mercado de finanzas descentralizadas (DeFi) ha sido complejo. La primera semana del mes, las herramientas de monitoreo registraron 5 brechas importantes que acumulan pérdidas superiores a los $8 millones. Entre las víctimas se encuentran protocolos como Sharwa.Finance, que perdió $32.850 por manipulación de oráculos, y Bisq, que reportó una brecha de $858.000 el 1 de mayo.
A estos incidentes se suman el ataque de préstamos flash a SmartCredit el 4 de mayo por $72.000 y la vulnerabilidad en el módulo router de Ekubo el 5 de mayo, que resultó en la pérdida de $1,4 millones. El flujo de fondos en este último caso se realizó a través de 85 transacciones rápidas vinculadas a plataformas del ecosistema Velora.
En un intento por recuperar los activos, TrustedVolumes se encuentra evaluando actualmente la implementación de un programa de bug bounty.
