Recientemente, ocurrió una de las mayores pérdidas por estafas on-chain. Un ataque de envenenamiento de direcciones, un fraude que aprovecha la forma en que las blockchains basadas en cuentas gestionan el historial de transacciones y la reutilización de direcciones, provocó que un solo usuario perdiera casi 50 millones de dólares en USDT.
Comentario de Charles Hoskinson
Según Charles Hoskinson, esto no habría ocurrido en algunas arquitecturas que son intrínsecamente más resistentes a errores de este tipo. Así fue como sucedió.
Poco después de que el dinero fuera retirado de Binance, la billetera de la víctima, que había estado activa durante unos dos años y se utilizaba principalmente para transferencias de USDT, recibió cerca de 50 millones de dólares. El usuario envió una breve transacción de prueba al destinatario previsto, lo que muchos considerarían un comportamiento seguro. El monto total fue enviado unos minutos después. Para esa segunda transferencia se utilizó la dirección incorrecta.
Anteriormente, el estafador había realizado un ataque de envenenamiento de direcciones enviando una pequeña cantidad de USDT desde una billetera diseñada para parecerse a una dirección real que la víctima había utilizado previamente. La víctima eligió por error la dirección envenenada en lugar de la correcta al copiar la dirección desde el historial de transacciones. Como resultado, se perdieron 50 millones de dólares con un solo clic.
Por qué UTXO es mejor en estos casos
Aunque probablemente será movido o intercambiado, el USDT robado actualmente sigue en la dirección de destino.
"Esta es otra razón por la que UTXO es increíble", dijo Hoskinson en respuesta al incidente. No se equivoca. El modelo basado en cuentas que Ethereum y muchas otras cadenas EVM emplean conduce directamente a este tipo de estafas. Las direcciones se muestran como cadenas de texto libre en el historial de transacciones, y las billeteras fomentan copiar de intercambios previos. Eso es precisamente lo que aprovechan los hackers.
Cadenas como Bitcoin y Cardano, que están basadas en el modelo UTXO, funcionan de manera diferente. Cada transacción produce nuevas salidas mientras consume las existentes. Las billeteras suelen crear transacciones a partir de selecciones explícitas de UTXO en lugar de puntos finales de cuentas reutilizadas, y los usuarios no dependen de copiar direcciones de destino desde los historiales de cuentas de la misma manera. No existe un estado de cuenta persistente que pueda ser visualmente envenenado.
Esto no fue una falla de protocolo ni una explotación de contratos inteligentes. Fue una falla en el diseño que interactuó con la naturaleza humana, y en menos de una hora, costó 50 millones de dólares.
