Un hacker de Voltage Finance transfiere $182,000 en ETH a Tornado Cash

Un hacker vinculado al exploit de 2022 de Voltage Finance, un protocolo de préstamos descentralizados basado en la red Fuse, ha transferido una parte significativa de los fondos robados tras meses de inactividad. La firma de seguridad blockchain CertiK reveló el 6 de mayo que el hacker transfirió 100 Ether, valorados en aproximadamente $182,783, a través del servicio de mezcla de criptomonedas Tornado Cash.

Según la investigación de CertiK, la dirección de la billetera utilizada en la transacción estuvo inactiva durante 166 días, sin actividad desde noviembre. La dirección está vinculada al exploit original y puede trachasta actividades anteriores relacionadas con el hacker. 

#CertiKInsight 🚨

Nuestro sistema de alerta ha detectado de @TornadoCash
de 100 ETH de 0xCF4823dA7271fdedBe103500d8E197Bdca224B6d.

El fondo traca una explotación de Voltage Finance de aproximadamente $4 millones
en Fuse en marzo de 2022.

Manténganse alerta! pic.twitter.com/eyqH1HbN3F

— CertiK Alert (@CertiKAlert) 6 de mayo de 2025

La empresa de seguridad blockchain también explicó que el hacker utilizó Tornado Cash, que fue sancionado por el Tesoro de Estados Unidos en 2022 por facilitar el lavado de dinero, para ocultar las transacciones blockchain y evitar que los investigadores traclos movimientos de fondos.

Exploit original de Voltage Finance de 2022

Voltage fue hackeado el 31 de marzo de 2022, y el hacker se apoderó de aproximadamente 4,67 millones de dólares en tokens digitales. Según se informa, se aprovecharon de una vulnerabilidad en un estándar de tokens, ERC677, mediante una función de devolución de llamada integrada. Esta función les permitió ejecutar un ataque de reentrada para drenar fondos del fondo de préstamos de la plataforma.

En la fase inicial del ataque, el culpable utilizó un préstamo flash de 515 Wrapped Ether (WETH) del par WETH-WBTC en Voltage Finance para iniciar la explotación. 

Voltage Finance opera como un protocolo descentralizado que permite el intercambio automatizado de tokens en la red Fuse. El atacante explotó esta infraestructura manipulando lostracinteligentes de la plataforma mediante tokens envueltos y préstamos flash. 

Ola Finance, la red multiprotocolo que da soporte a Voltage, publicó un posterior al incidente dos días después,dent en el que se indicaba que la vulnerabilidad era específica de su implementación de Fuse. Los desarrolladores afirmaron que ataques similares no afectarían a otras redes de préstamos del ecosistema de Ola. 

En total, el atacante robó 216.964,18 USDC, 507.216,68 BUSD, 200.000 fUSD, 550,45 Wrapped Ether (wETH), 26,25 Wrapped Bitcoin (wBTC) y 1.240.000 tokens FUSE. 

“En transacciones posteriores, el atacante evitó un préstamo flash utilizando los fondos que ya habían sido robados”, afirmó Ola en su informe.

Otro exploit impacta en marzo de 2025

Voltage Finance fue atacada nuevamente en un exploit separado el 18 de marzo de este año, involucrando sus pools de Simple Staking. En esta ocasión, el retiro no autorizado resultó en el robo de $171,027.20 en USDCE y $151,085.87 en wETH. La plataforma detuvo las actividades en el pool para detener el drenaje de fondos y afirmó estar trabajando urgentemente paradental hacker

Según un informe de Voltage Finance publicado en Medium el 20 de marzo, el ataque comenzó cuando un segundo desconocido, conocido como el Atacante 2, retiró ETH de la plataforma de intercambio de criptomonedas HTX. El Atacante 2 transfirió los activos robados al Atacante 1, quien utilizó el dinero para comprar tokens FUSE a través de ChangeNow, conectados a la red mediante LayerZero.

Desde allí, los activos robados se trasladaron a Ethereum y se movieron a través de varias billeteras y transacciones. Luego, los fondos pasaron del Atacante 1 al Atacante 3, quien recibió fondos adicionales a través de SimpleSwap. 

El atacante 3 depositó algunos de los tokens en el intercambio de KuCoin, pero intercambió y retiró otros al primer hacker para completar el ciclo de lavado.

«Dado que sus transacciones se realizaron a través de KuCoin, hemos iniciado una colaboración para identificarledentPreferimos resolver esta situación pacíficamente. Ofrecemos una recompensa de 50 000 dólares por la devolución de todos los fondos», comunicó Voltage Finance al hacker en su publicación

Según un informe reciente de la empresa de seguridad blockchain Immunefi, las pérdidas por hackeos y exploits relacionados con las criptomonedas han alcanzado los 1.740 millones de dólares en lo que va de año, superando ya el total de 1.490 millones de dólares registrado en todo 2024. El total acumulado en 2025 es casi cuatro veces superior a los 420 millones de dólares reportados durante el mismo período en 2024.