- Un usuario de criptomonedas perdió casi 50 millones de dólares en USDTdespués de copiar una dirección de wallet falsificada desde el historial de transacciones.
- El ataque utilizó address poisoning, explotando interfaces de wallets que ocultan la parte central de las direcciones.
- Los fondos fueron rápidamente intercambiados y enviados a través de múltiples wallets, con partes transferidas a Tornado Cash, lo que limita las opciones de recuperación.
Un simple error de copiar y pegar ha resultado en uno de los errores de usuario más costosos jamás registrados en la cadena. El incidente destaca cómo los hábitos simples de interfaz pueden anular comportamientos cautelosos y conducir a pérdidas irreversibles.
Tabla de Contenidos
Cómo una transferencia de prueba rutinaria se convirtió en una pérdida de 50 millones de dólares
Según investigadores on-chain, incluido Lookonchain, la víctima comenzó con un paso que muchos usuarios experimentados consideran una buena práctica: una pequeña transacción de prueba. El usuario envió
Sin embargo, esa transferencia de prueba se convirtió en el detonante.
En cuestión de momentos, un estafador desplegó una táctica de address poisoning. El atacante creó una dirección de wallet que tenía los mismos primeros y últimos cuatro dígitos que la dirección genuina de la víctima. Luego, se envió una pequeña transacción a la víctima desde esta dirección, que parecía la real, asegurándose de que quedara registrada en el historial de transacciones de la wallet.
Cuando la víctima regresó para completar la transferencia principal:
Address Poisoning: Un ataque de baja tecnología con gran impacto
No es necesario hackear claves personales ni utilizar smart contracts. Depende de la interfaz humana y el comportamiento del usuario.
Por qué este ataque sigue funcionando a gran escala
La mayoría de las wallets abrevian las direcciones para mejorar la legibilidad. Los usuarios suelen verificar las transferencias comprobando los primeros y últimos caracteres de la dirección. Esto es aprovechado por los atacantes, que generan direcciones que reflejan esos caracteres visibles.
En este caso, el estafador lo hizo inmediatamente después de la transacción de prueba, lo que indica una monitorización automática. El atacante hizo que la conveniencia ocultara una mejor razón para tener precaución al colocar una dirección casi idéntica en el historial de transacciones de la víctima.
Este método se considera básico en comparación con los exploits complejos de DeFi. Sin embargo, el resultado muestra que incluso las estafas “simples” pueden producir pérdidas catastróficas cuando se involucran grandes sumas.
Movimientos on-chain tras el robo
Los registros en blockchain muestran que los USDT robados no permanecieron inactivos. El atacante intercambió rápidamente parte de los fondos por ETH y los envió a varias wallets, lo cual es típico para disminuir la trazabilidad.
Posteriormente, los activos fueron transferidos a Tornado Cash, un mezclador de privacidad que oculta los rastros de las transferencias. Tan pronto como el dinero se invierte en estos servicios, la recuperación es extremadamente improbable sin una acción inmediata de los exchanges o validadores.
La cadena de wallets fue descrita por analistas como eficiente y premeditada, lo que significa que el estafador estaba preparado para actuar tan pronto como se realizara la gran transferencia.
Por qué este caso sorprendió a los analistas
El address poisoning es ampliamente conocido y a menudo se discute como una estafa molesta que involucra pequeñas cantidades. Lo que hace que este caso destaque es la escala y el perfil del error.
La víctima siguió un paso de seguridad común al probar con una pequeña transferencia. Irónicamente, esa acción dio al atacante la señal necesaria para desplegar la dirección falsificada en el momento exacto.
Observadores on-chain señalaron que solo unos segundos dedicados a copiar la dirección desde la fuente original, en lugar del historial de transacciones, habrían evitado completamente la pérdida. La rapidez de la finalidad en blockchain no dejó margen para la reversión.
Diseño de wallets y el factor humano
Este incidente plantea preguntas sobre las decisiones de UX en las wallets. Las direcciones truncadas mejoran la claridad visual pero reducen la seguridad para los usuarios que manejan grandes sumas.
Algunas wallets ahora advierten a los usuarios sobre address poisoning o marcan direcciones que se parecen mucho a las conocidas. Otras ofrecen listas blancas de direcciones, donde las transferencias se restringen a direcciones preaprobadas. Sin embargo, la adopción de estas funciones sigue siendo inconsistente.
Para transferencias de alto valor, confiar solo en comprobaciones visuales ha demostrado ser insuficiente. El caso muestra cómo incluso los usuarios experimentados pueden caer en patrones predecibles bajo presión de tiempo.
