Se explotó una antigua aprobación de token en Ethereum, permitiendo a un atacante drenar 13,3 millones de dólares en segundos tras recibir fondos.
Una cartera de Ethereum perdió aproximadamente 13,3 millones de dólares en segundos después de que se activara una aprobación de token olvidada hace mucho tiempo.
Los fondos llegaron a través de una transacción de abstracción de cuenta, y el atacante actuó de inmediato. Los datos de la cadena muestran que la cartera había concedido derechos de gasto sin saberlo semanas antes.
Una vez que la transferencia se completó, la aprobación permitió acceso total sin confirmación adicional. El incidente demuestra cómo los permisos inactivos pueden permanecer activos y ser utilizados sin advertencia.
La cartera recibe fondos y es drenada rápidamente
La cartera víctima, identificada como 0xba15E9b644685cB845aF18a738Abd40C6Bcd78eD, recibió aproximadamente 13,3 millones de dólares en una sola transacción.
El atacante ejecutó la transferencia utilizando un mecanismo de abstracción de cuenta diseñado para simplificar las operaciones de la cartera.
Además, los registros de la cadena muestran que los fondos llegaron y fueron retirados por el atacante en cuestión de segundos. En consecuencia, el ritmo rápido no dejó margen para intervención manual o acciones defensivas.
La velocidad del drenaje sugirió que el atacante no necesitaba nuevos permisos. En cambio, ya tenía acceso antes de que ocurriera la transferencia.
Además, los rastreadores de seguridad confirmaron que no se realizaron nuevas transacciones de aprobación durante el incidente. Esto descartó ataques comunes de phishing o basados en firmas.
Los investigadores revisaron luego la actividad histórica en la cadena vinculada a la cartera. Su enfoque se desplazó hacia aprobaciones de tokens más antiguas que nunca habían sido revocadas.
Esta revisión reveló una aprobación anterior que aún permitía gastos por parte de terceros. Ese permiso inactivo se convirtió en el punto de entrada para la explotación.
La aprobación antigua permitió la explotación
Los investigadores rastrearon la causa raíz hasta una transacción de aprobación realizada el 1 de enero de 2026. Esa llamada concedió derechos de gasto a la dirección 0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e.
En ese momento, la aprobación no generó preocupación pública. El permiso permaneció activo y no fue revocado.
Una aprobación antigua acaba de costar 13,3 millones de dólares.
La dirección de la víctima 0xba15E9b644685cB845aF18a738Abd40C6Bcd78eD recibió ~$13.3M mediante una transacción de abstracción de cuenta y fue drenada en segundos.
La causa raíz se remonta a una llamada approve() realizada el 1 de enero de 2026, que concedió derechos de gasto… pic.twitter.com/vDVhX8emXD
— QuillAudits 🥷 (@QuillAudits_AI) 26 de enero de 2026
La dirección del atacante, 0x6cAad74121bF602e71386505A4687f310e0D833e, utilizó posteriormente esta aprobación.
Permitió acceso completo a los fondos entrantes. Una vez que llegaron los fondos, el atacante ejecutó transferencias sin demora. El atacante retiró todo el saldo en una acción coordinada.
Movimientos de fondos tras el drenaje
Tras el drenaje, el atacante intercambió los activos robados de tokens a WETH y luego a ETH. Estos pasos redujeron la exposición a rastreo a nivel de tokens.
Luego, el atacante movió fondos a través de varias carteras. Las transferencias fueron rápidas y distribuidas en varias direcciones.
Este método creó un patrón de transacción complejo. Los atacantes suelen usar estos patrones para ralentizar los esfuerzos de rastreo.
El análisis de la cadena muestra que una parte del ETH permanece en la cadena. Estos fondos permanecen en direcciones aún vinculadas al atacante.
Lectura relacionada: Pérdidas por 25 millones de dólares: Machi liquidado por 1,000 ETH tras caída del mercado
Observaciones en la cadena en curso
Los observadores de seguridad continúan monitoreando las carteras vinculadas al atacante. Sin embargo, los investigadores no encontraron servicios de mixing durante los movimientos iniciales.
La presencia de fondos en la cadena deja espacio para el rastreo. Los analistas dependen del tiempo de las transacciones y de los enlaces entre direcciones.
El incidente demuestra cómo las aprobaciones antiguas pueden permanecer activas. Los propietarios de carteras a menudo olvidan estos permisos con el tiempo. El evento se suma a casos recientes que involucran aprobaciones obsoletas. Reforzando la necesidad de revisiones periódicas de permisos.
Hasta los datos más recientes, no se ha realizado ninguna transacción de recuperación. Los fondos robados siguen bajo control del atacante.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
Aave Secures $69,576 ETH Aid Pledges, Closing $5,505 ETH Gap in rsETH Recovery
Gate News message, April 25 — Aave has secured aid pledges totaling 69,576 ETH to cover losses from the rsETH incident, leaving a remaining shortfall of just 5,505 ETH, according to on-chain analyst Yu Jin. The lending protocol contributed 25,000 ETH (approximately $57.75 million) from its own
GateNewsHace8m
Bitmine hace staking de 191,952 ETH por valor de $447M en 12 horas; Grayscale agrega 102,400 ETH
Mensaje de Gate News, 25 de abril — Bitmine acumuló 191,952 ETH en staking durante las últimas 12 horas (24 de abril), con un valor de aproximadamente $447 millones.
Grayscale hizo staking de 102,400 ETH valorados en alrededor de $237 millones hace ocho horas (por la mañana del 25 de abril).
GateNewsHace18m
Bitmine y Grayscale apuestan más de 214.000 ETH, valorados en casi $500 Millones
Mensaje de Gate News: Bitmine ha apostado (staked) 112.040 ETH adicionales, valorados en 260,13 millones de dólares, en las últimas 4 horas. Grayscale apostó 102.400 ETH, valorados en 237,35 millones de dólares, hace 8 horas. Según Onchain Lens, Bitmine previamente apostó 98.352 ETH ($228.85 million) 3 horas antes, lo que eleva su total a 191,952 ETH $446.9 million apostados en un período de 12 horas.
GateNewshace2h
Aave propone una contribución de 25,000 ETH a DeFi United para la recuperación del exploit de Kelp DAO
Mensaje de Gate News, 24 de abril — Los proveedores de Aave propusieron una contribución de gobernanza de 25,000 ETH, por un valor aproximado de $58 millones, desde el DAO del protocolo a DeFi United el viernes para ayudar a restablecer el respaldo de rsETH tras el exploit de Kelp DAO de la semana pasada. El ataque comprometió un puente de LayerZero
GateNewshace4h
Fluent lanza el mainnet de Ethereum Layer 2 con el token BLEND
Fluent, una red de Capa 2 basada en Ethereum, activó su red principal y su token nativo BLEND el viernes, poniendo en línea un entorno de “ejecución combinada” diseñado para permitir que aplicaciones escritas para diferentes máquinas virtuales operen dentro del mismo estado de la cadena. La red se lanzó con $50 millones en
CryptoFrontierhace5h
ETH en $2,428 Desencadenaría Liquidaciones Cortas por $1.007B; Romper por Debajo de $2,210 Riesgos $935M Liquidaciones Largas
Mensaje de Gate News, 24 de abril — Según datos de Coinglass, si Ethereum (ETH) rompe por encima de $2,428, las liquidaciones cortas acumuladas en las principales bolsas centralizadas alcanzarían los $1.007 mil millones.
Por el contrario, si ETH cae por debajo de $2,210, las liquidaciones largas acumuladas en las principales CEX alcanzarían $935
GateNewshace6h
