Se explotó una antigua aprobación de token en Ethereum, permitiendo a un atacante drenar 13,3 millones de dólares en segundos tras recibir fondos.
Una cartera de Ethereum perdió aproximadamente 13,3 millones de dólares en segundos después de que se activara una aprobación de token olvidada hace mucho tiempo.
Los fondos llegaron a través de una transacción de abstracción de cuenta, y el atacante actuó de inmediato. Los datos de la cadena muestran que la cartera había concedido derechos de gasto sin saberlo semanas antes.
Una vez que la transferencia se completó, la aprobación permitió acceso total sin confirmación adicional. El incidente demuestra cómo los permisos inactivos pueden permanecer activos y ser utilizados sin advertencia.
La cartera recibe fondos y es drenada rápidamente
La cartera víctima, identificada como 0xba15E9b644685cB845aF18a738Abd40C6Bcd78eD, recibió aproximadamente 13,3 millones de dólares en una sola transacción.
El atacante ejecutó la transferencia utilizando un mecanismo de abstracción de cuenta diseñado para simplificar las operaciones de la cartera.
Además, los registros de la cadena muestran que los fondos llegaron y fueron retirados por el atacante en cuestión de segundos. En consecuencia, el ritmo rápido no dejó margen para intervención manual o acciones defensivas.
La velocidad del drenaje sugirió que el atacante no necesitaba nuevos permisos. En cambio, ya tenía acceso antes de que ocurriera la transferencia.
Además, los rastreadores de seguridad confirmaron que no se realizaron nuevas transacciones de aprobación durante el incidente. Esto descartó ataques comunes de phishing o basados en firmas.
Los investigadores revisaron luego la actividad histórica en la cadena vinculada a la cartera. Su enfoque se desplazó hacia aprobaciones de tokens más antiguas que nunca habían sido revocadas.
Esta revisión reveló una aprobación anterior que aún permitía gastos por parte de terceros. Ese permiso inactivo se convirtió en el punto de entrada para la explotación.
La aprobación antigua permitió la explotación
Los investigadores rastrearon la causa raíz hasta una transacción de aprobación realizada el 1 de enero de 2026. Esa llamada concedió derechos de gasto a la dirección 0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e.
En ese momento, la aprobación no generó preocupación pública. El permiso permaneció activo y no fue revocado.
Una aprobación antigua acaba de costar 13,3 millones de dólares.
La dirección de la víctima 0xba15E9b644685cB845aF18a738Abd40C6Bcd78eD recibió ~$13.3M mediante una transacción de abstracción de cuenta y fue drenada en segundos.
La causa raíz se remonta a una llamada approve() realizada el 1 de enero de 2026, que concedió derechos de gasto… pic.twitter.com/vDVhX8emXD
— QuillAudits 🥷 (@QuillAudits_AI) 26 de enero de 2026
La dirección del atacante, 0x6cAad74121bF602e71386505A4687f310e0D833e, utilizó posteriormente esta aprobación.
Permitió acceso completo a los fondos entrantes. Una vez que llegaron los fondos, el atacante ejecutó transferencias sin demora. El atacante retiró todo el saldo en una acción coordinada.
Movimientos de fondos tras el drenaje
Tras el drenaje, el atacante intercambió los activos robados de tokens a WETH y luego a ETH. Estos pasos redujeron la exposición a rastreo a nivel de tokens.
Luego, el atacante movió fondos a través de varias carteras. Las transferencias fueron rápidas y distribuidas en varias direcciones.
Este método creó un patrón de transacción complejo. Los atacantes suelen usar estos patrones para ralentizar los esfuerzos de rastreo.
El análisis de la cadena muestra que una parte del ETH permanece en la cadena. Estos fondos permanecen en direcciones aún vinculadas al atacante.
Lectura relacionada: Pérdidas por 25 millones de dólares: Machi liquidado por 1,000 ETH tras caída del mercado
Observaciones en la cadena en curso
Los observadores de seguridad continúan monitoreando las carteras vinculadas al atacante. Sin embargo, los investigadores no encontraron servicios de mixing durante los movimientos iniciales.
La presencia de fondos en la cadena deja espacio para el rastreo. Los analistas dependen del tiempo de las transacciones y de los enlaces entre direcciones.
El incidente demuestra cómo las aprobaciones antiguas pueden permanecer activas. Los propietarios de carteras a menudo olvidan estos permisos con el tiempo. El evento se suma a casos recientes que involucran aprobaciones obsoletas. Reforzando la necesidad de revisiones periódicas de permisos.
Hasta los datos más recientes, no se ha realizado ninguna transacción de recuperación. Los fondos robados siguen bajo control del atacante.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
Vitalik traspasa tokens meme por 114.566 USDC y 155 ETH en 24 horas
Según el monitoreo de Lookonchain, el fundador de Ethereum, Vitalik (@VitalikButerin), vendió tokens meme que recibió gratis durante las últimas 24 horas, generando 114.566 USDC y 155 ETH, con un total aproximado de $355.000.
GateNewshace3h
Los ETF spot de Ethereum registran 21,8 millones de dólares en salidas netas el 28 de abril; ETHA de BlackRock lidera con 13,2 millones de dólares
Según SoSoValue, los ETF spot de Ethereum registraron salidas netas de 21,8 millones de USD el 28 de abril. El ETHA de BlackRock lideró la caída con salidas netas de 13,2 millones de USD en un solo día, elevando sus salidas netas acumuladas históricas a 55,6 millones de USD. El ETHE de Grayscale le siguió con salidas diarias de 6,9 millones de USD.
GateNewshace4h
OKX lanza el protocolo de pagos con agentes para el comercio de bots de IA
El exchange de criptomonedas OKX presentó el Protocolo de Pagos de Agentes (APP) el miércoles, un estándar abierto diseñado para permitir que los agentes de IA realicen ciclos comerciales completos, incluidas pagos, negociaciones y resolución de disputas. El protocolo sigue ofertas similares de competidores, incluido x402, incubado por
CryptoFrontierhace4h
Polygon y Polkadot impulsan las actualizaciones de abril; Ethereum planea Glamsterdam
Actualizaciones de blockchain de abril: bifurcaciones en vivo y fases de planificación
En abril de 2026, los protocolos de blockchain siguieron caminos divergentes: algunos implementando cambios en mainnet en vivo, otros perfeccionando arquitecturas futuras. El hard fork Giugliano de Polygon se activó el 8 de abril, y Polkadot ejecutó Runtime v2.1 mediante gobernanza en la
CryptoFrontierhace4h
Los ETF Spot de Ethereum registran salidas de 87,72 millones de dólares el 29 de abril, lideradas por Fidelity
Según Trader T, los ETF spot de Ethereum registraron salidas netas de 87,72 millones de USD el 29 de abril. Fidelity FETH lideró con 48,37 millones de USD en salidas, seguido por BlackRock ETHA con 37,06 millones de USD, mientras que BlackRock ETHB vio 2,3 millones de USD en salidas.
GateNewshace5h
Ballenas compran 14.500 ETH en Hyperliquid con un apalancamiento de 20x, beneficios de $500K en 1 hora el 30 de abril
Según el monitoreo de Hyperinsight, el 30 de abril una ballena en Hyperliquid abrió una posición corta con apalancamiento de 20x por 14.500 ETH, valorada en aproximadamente 32,5 millones de dólares, con un precio de entrada promedio de 2.272 dólares. La posición se abrió cerca del máximo intradía diario, generando más de 500.000 dólares en
GateNewshace5h
