Puntos clave de la noticia:
- Investigadores afirman que una ballena perdió cerca de $27.3M tras comprometerse la clave de un multisig 1-of-1 y drenarse los fondos.
- PeckShield rastreó 41 depósitos de 100 ETH cada uno, totalizando ~4,100 ETH o $12.6M, a través de Tornado Cash; quedaban ~$2M líquidos.
- Analistas advierten que el atacante también controla una posición en Aave con ~$25M en colateral ETH contra ~$12.3M en DAI, y que malas configuraciones y aprobaciones engañosas elevan el riesgo. Specter dijo que pérdidas podrían alcanzar $38M.
Una ballena de criptomonedas sufrió una pérdida de gran escala después de que atacantes explotaran una billetera multifirma 1-of-1 mal configurada, con investigadores estimando el daño en alrededor de $27.3 millones. Una configuración multisig defectuosa se convirtió en un punto único de falla, permitiendo que el drainer tomara control de la clave firmante, extrajera activos y moviera los fondos a través de Tornado Cash en lotes de 100 ETH. Observadores de seguridad vinculan el incidente a un compromiso de clave privada, y la magnitud del caso está empujando una discusión más dura sobre configuración de billeteras, controles operativos y el costo real de la irreversibilidad on-chain. Los analistas sostienen que el drenaje fue rápido.
https://twitter.com/PeckShieldAlert/status/2001506013565079924
Investigadores trazan el drenaje, el lavado y las brechas de control
PeckShield alertó sobre el incidente en X, citando datos on-chain que muestran cómo los fondos robados fueron canalizados hacia Tornado Cash en tramos estandarizados. El patrón de lavado fue sistemático y repetible, con cerca de $12.6 millones, o aproximadamente 4,100 ETH, ya mezclados mediante 41 depósitos de 100 ETH cada uno. PeckShield indicó que el atacante se convirtió en el único firmante tras apoderarse de la clave privada, y luego drenó activos, manteniendo aún alrededor de $2 millones en balances líquidos al momento del reporte, según saldos observados. La dirección retenía ETH, WETH, OKB, TWT, LEO, Fetch y Nexo.
Los analistas también destacaron que el atacante aparenta controlar una billetera que sigue sosteniendo una gran posición apalancada en Aave. El compromiso no es solo robo, es un riesgo activo para el balance, con cerca de $25 millones en ETH aportados como colateral contra aproximadamente $12.3 millones tomados en préstamo en DAI. El investigador on-chain Specter publicó un desglose de la secuencia del ataque y dijo que las pérdidas totales podrían estar más cerca de $38 millones. Specter señaló que el multisig 1-of-1 se creó el 11 de abril de 2025 a las 07:48:11 y que luego se produjo una salida masiva a las 08:23:23, lo que abre dudas sobre exposición durante el proceso de configuración. El vector exacto de entrada sigue sin aclararse.
El caso se está usando para cuestionar supuestos sobre la seguridad de las multifirmas. El diseño del umbral y la higiene de aprobaciones definen la seguridad real, y las configuraciones 1-of-1 eliminan el beneficio central de la autorización de múltiples partes. Los investigadores citaron un incidente de septiembre en el que un inversor perdió $3.047 millones en USDC tras autorizar sin saberlo un contrato malicioso, que luego se convirtió a ETH y se envió por Tornado Cash. El fundador de SlowMist, Yu Xian, dijo que ese caso involucró una multisig Safe 2-of-4, con un contrato engañoso y una aprobación maliciosa oculta dentro de una autorización rutinaria. Yu afirmó que el contrato falso imitaba de cerca los primeros y últimos caracteres de la dirección.
