Se explotó una antigua aprobación de token en Ethereum, permitiendo a un atacante drenar 13,3 millones de dólares en segundos tras recibir fondos.

Una cartera de Ethereum perdió aproximadamente 13,3 millones de dólares en segundos después de que se activara una aprobación de token olvidada hace mucho tiempo.

Los fondos llegaron a través de una transacción de abstracción de cuenta, y el atacante actuó de inmediato. Los datos de la cadena muestran que la cartera había concedido derechos de gasto sin saberlo semanas antes.

Una vez que la transferencia se completó, la aprobación permitió acceso total sin confirmación adicional. El incidente demuestra cómo los permisos inactivos pueden permanecer activos y ser utilizados sin advertencia.

La cartera recibe fondos y es drenada rápidamente

La cartera víctima, identificada como 0xba15E9b644685cB845aF18a738Abd40C6Bcd78eD, recibió aproximadamente 13,3 millones de dólares en una sola transacción.

El atacante ejecutó la transferencia utilizando un mecanismo de abstracción de cuenta diseñado para simplificar las operaciones de la cartera.

Además, los registros de la cadena muestran que los fondos llegaron y fueron retirados por el atacante en cuestión de segundos. En consecuencia, el ritmo rápido no dejó margen para intervención manual o acciones defensivas.

La velocidad del drenaje sugirió que el atacante no necesitaba nuevos permisos. En cambio, ya tenía acceso antes de que ocurriera la transferencia.

Además, los rastreadores de seguridad confirmaron que no se realizaron nuevas transacciones de aprobación durante el incidente. Esto descartó ataques comunes de phishing o basados en firmas.

Los investigadores revisaron luego la actividad histórica en la cadena vinculada a la cartera. Su enfoque se desplazó hacia aprobaciones de tokens más antiguas que nunca habían sido revocadas.

Esta revisión reveló una aprobación anterior que aún permitía gastos por parte de terceros. Ese permiso inactivo se convirtió en el punto de entrada para la explotación.

La aprobación antigua permitió la explotación

Los investigadores rastrearon la causa raíz hasta una transacción de aprobación realizada el 1 de enero de 2026. Esa llamada concedió derechos de gasto a la dirección 0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e.

En ese momento, la aprobación no generó preocupación pública. El permiso permaneció activo y no fue revocado.

Una aprobación antigua acaba de costar 13,3 millones de dólares.

La dirección de la víctima 0xba15E9b644685cB845aF18a738Abd40C6Bcd78eD recibió ~$13.3M mediante una transacción de abstracción de cuenta y fue drenada en segundos.

La causa raíz se remonta a una llamada approve() realizada el 1 de enero de 2026, que concedió derechos de gasto… pic.twitter.com/vDVhX8emXD

— QuillAudits 🥷 (@QuillAudits_AI) 26 de enero de 2026

La dirección del atacante, 0x6cAad74121bF602e71386505A4687f310e0D833e, utilizó posteriormente esta aprobación.

Permitió acceso completo a los fondos entrantes. Una vez que llegaron los fondos, el atacante ejecutó transferencias sin demora. El atacante retiró todo el saldo en una acción coordinada.

Movimientos de fondos tras el drenaje

Tras el drenaje, el atacante intercambió los activos robados de tokens a WETH y luego a ETH. Estos pasos redujeron la exposición a rastreo a nivel de tokens.

Luego, el atacante movió fondos a través de varias carteras. Las transferencias fueron rápidas y distribuidas en varias direcciones.

Este método creó un patrón de transacción complejo. Los atacantes suelen usar estos patrones para ralentizar los esfuerzos de rastreo.

El análisis de la cadena muestra que una parte del ETH permanece en la cadena. Estos fondos permanecen en direcciones aún vinculadas al atacante.

Lectura relacionada: Pérdidas por 25 millones de dólares: Machi liquidado por 1,000 ETH tras caída del mercado

Observaciones en la cadena en curso

Los observadores de seguridad continúan monitoreando las carteras vinculadas al atacante. Sin embargo, los investigadores no encontraron servicios de mixing durante los movimientos iniciales.

La presencia de fondos en la cadena deja espacio para el rastreo. Los analistas dependen del tiempo de las transacciones y de los enlaces entre direcciones.

El incidente demuestra cómo las aprobaciones antiguas pueden permanecer activas. Los propietarios de carteras a menudo olvidan estos permisos con el tiempo. El evento se suma a casos recientes que involucran aprobaciones obsoletas. Reforzando la necesidad de revisiones periódicas de permisos.

Hasta los datos más recientes, no se ha realizado ninguna transacción de recuperación. Los fondos robados siguen bajo control del atacante.

Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el Aviso legal.