Se explotó una antigua aprobación de token en Ethereum, permitiendo a un atacante drenar 13,3 millones de dólares en segundos tras recibir fondos.
Una cartera de Ethereum perdió aproximadamente 13,3 millones de dólares en segundos después de que se activara una aprobación de token olvidada hace mucho tiempo.
Los fondos llegaron a través de una transacción de abstracción de cuenta, y el atacante actuó de inmediato. Los datos de la cadena muestran que la cartera había concedido derechos de gasto sin saberlo semanas antes.
Una vez que la transferencia se completó, la aprobación permitió acceso total sin confirmación adicional. El incidente demuestra cómo los permisos inactivos pueden permanecer activos y ser utilizados sin advertencia.
La cartera recibe fondos y es drenada rápidamente
La cartera víctima, identificada como 0xba15E9b644685cB845aF18a738Abd40C6Bcd78eD, recibió aproximadamente 13,3 millones de dólares en una sola transacción.
El atacante ejecutó la transferencia utilizando un mecanismo de abstracción de cuenta diseñado para simplificar las operaciones de la cartera.
Además, los registros de la cadena muestran que los fondos llegaron y fueron retirados por el atacante en cuestión de segundos. En consecuencia, el ritmo rápido no dejó margen para intervención manual o acciones defensivas.
La velocidad del drenaje sugirió que el atacante no necesitaba nuevos permisos. En cambio, ya tenía acceso antes de que ocurriera la transferencia.
Además, los rastreadores de seguridad confirmaron que no se realizaron nuevas transacciones de aprobación durante el incidente. Esto descartó ataques comunes de phishing o basados en firmas.
Los investigadores revisaron luego la actividad histórica en la cadena vinculada a la cartera. Su enfoque se desplazó hacia aprobaciones de tokens más antiguas que nunca habían sido revocadas.
Esta revisión reveló una aprobación anterior que aún permitía gastos por parte de terceros. Ese permiso inactivo se convirtió en el punto de entrada para la explotación.
La aprobación antigua permitió la explotación
Los investigadores rastrearon la causa raíz hasta una transacción de aprobación realizada el 1 de enero de 2026. Esa llamada concedió derechos de gasto a la dirección 0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e.
En ese momento, la aprobación no generó preocupación pública. El permiso permaneció activo y no fue revocado.
Una aprobación antigua acaba de costar 13,3 millones de dólares.
La dirección de la víctima 0xba15E9b644685cB845aF18a738Abd40C6Bcd78eD recibió ~$13.3M mediante una transacción de abstracción de cuenta y fue drenada en segundos.
La causa raíz se remonta a una llamada approve() realizada el 1 de enero de 2026, que concedió derechos de gasto… pic.twitter.com/vDVhX8emXD
— QuillAudits 🥷 (@QuillAudits_AI) 26 de enero de 2026
La dirección del atacante, 0x6cAad74121bF602e71386505A4687f310e0D833e, utilizó posteriormente esta aprobación.
Permitió acceso completo a los fondos entrantes. Una vez que llegaron los fondos, el atacante ejecutó transferencias sin demora. El atacante retiró todo el saldo en una acción coordinada.
Movimientos de fondos tras el drenaje
Tras el drenaje, el atacante intercambió los activos robados de tokens a WETH y luego a ETH. Estos pasos redujeron la exposición a rastreo a nivel de tokens.
Luego, el atacante movió fondos a través de varias carteras. Las transferencias fueron rápidas y distribuidas en varias direcciones.
Este método creó un patrón de transacción complejo. Los atacantes suelen usar estos patrones para ralentizar los esfuerzos de rastreo.
El análisis de la cadena muestra que una parte del ETH permanece en la cadena. Estos fondos permanecen en direcciones aún vinculadas al atacante.
Lectura relacionada: Pérdidas por 25 millones de dólares: Machi liquidado por 1,000 ETH tras caída del mercado
Observaciones en la cadena en curso
Los observadores de seguridad continúan monitoreando las carteras vinculadas al atacante. Sin embargo, los investigadores no encontraron servicios de mixing durante los movimientos iniciales.
La presencia de fondos en la cadena deja espacio para el rastreo. Los analistas dependen del tiempo de las transacciones y de los enlaces entre direcciones.
El incidente demuestra cómo las aprobaciones antiguas pueden permanecer activas. Los propietarios de carteras a menudo olvidan estos permisos con el tiempo. El evento se suma a casos recientes que involucran aprobaciones obsoletas. Reforzando la necesidad de revisiones periódicas de permisos.
Hasta los datos más recientes, no se ha realizado ninguna transacción de recuperación. Los fondos robados siguen bajo control del atacante.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
La ballena nemorino.eth compra 2,091 ETH por 2,39 mil dólares y deposita $5M en Spark
Según el analista on-chain Ai Yi, la ballena nemorino.eth compró 2.091,43 ETH a un precio promedio de 2.386,78 USD (con un total de 5 millones de USD) hace 12 horas durante una caída del mercado. Los tokens se han depositado en el protocolo Spark para ganar
GateNewshace1h
Proveedores de liquidez de 1inch, TrustedVolumes, atacados en Ethereum: se roban 5,87M de dólares
Según Blockaid, el creador de mercado y solucionador de 1inch TrustedVolumes está bajo ataque en Ethereum al 7 de mayo. La vulnerabilidad fue detectada en el sistema de monitoreo de seguridad de Blockaid dentro de un contrato de agente de trading RFQ personalizado controlado por TrustedVolumes. Los atacantes han extraído
GateNewshace2h
Cuatro carteras vinculadas a Paradigm depositan 11.615 ETH en FalconX por valor de 27,29 millones de USD
Según BlockBeats, citando datos de lookonchain, cuatro direcciones de monedero potencialmente vinculadas a Paradigm Capital depositaron 11.615 ETH en FalconX hace 3 horas el 7 de mayo, con un valor aproximado de 27,29 millones de dólares.
GateNewshace2h
Aave liquida las posiciones de rsETH del atacante de Kelp DAO
La plataforma de préstamos onchain Aave ha liquidado las posiciones restantes de rsETH del atacante de Kelp DAO como parte de un plan de recuperación anunciado previamente, según anunció el miércoles. La garantía liquidada se transferirá a la Recovery Guardian, una multisig designada administrada por DeFi Uni
CryptoFrontierhace6h
Morgan Stanley lanza un piloto de operaciones de cripto en E*Trade con 50 puntos básicos
Según Bloomberg, Morgan Stanley lanzó el miércoles 6 de mayo un piloto de trading de criptomonedas spot en E*Trade, cobrando a los clientes 50 puntos básicos por transacción. El sexto banco de EE. UU. por activos ampliará el acceso a los 8,6 millones de clientes de E*Trade más adelante este año.
La tarifa de 50 puntos básicos u
GateNewshace15h
El CEO de Consensys: la tokenización se remonta a Ethereum
El CEO y fundador de ConsenSys, Joseph Lubin, afirmó que la tokenización se remonta a Ethereum, la blockchain que ayudó a cofundar.
Las declaraciones de Lubin resaltan el papel fundamental que Ethereum ha desempeñado en el desarrollo de blockchains y en la aparición de la tokenización como concepto tecnológico central en el
CryptoFrontierhace16h
