📅 20 de diciembre | Ecosistema Global de Criptomonedas
En el mundo de las criptomonedas, no siempre son explotaciones sofisticadas o fallos de codificación los que causan las mayores pérdidas. A veces, un solo clic mal ubicado es suficiente. Un trader experimentado perdió casi $50 millones en USDT después de caer en una de las estafas más simples y, paradójicamente, más efectivas en el ecosistema: el ataque de envenenamiento de dirección.
📖 Según datos de la plataforma de análisis en cadena Lookonchain, la víctima transfirió 49,999,950 USDT a una dirección controlada por un atacante, después de retirar los fondos de Binance con la intención de enviarlos a su propia billetera.
El proceso comenzó aparentemente de manera segura. Como de costumbre, el comerciante primero realizó una transacción de prueba de 50 USDT a la dirección de destino. Sin embargo, un script automatizado creado por el atacante detectó el movimiento y generó inmediatamente una dirección falsa diseñada para parecer casi idéntica a la dirección legítima.
La dirección de la billetera fraudulenta coincidía con los primeros cinco y los últimos cuatro caracteres de la dirección real. Las discrepancias estaban en el medio de la cadena alfanumérica, una sección que muchas interfaces de billetera ocultan con puntos suspensivos, facilitando la confusión visual.
Posteriormente, el atacante envió pequeñas transacciones desde esta dirección falsa a la billetera de la víctima, "envenenando" el historial de transacciones. Cuando el comerciante regresó minutos después y copió una dirección de su historial para enviar la cantidad total, seleccionó inadvertidamente la dirección maliciosa.
Los datos de Etherscan muestran que la transacción de prueba ocurrió a las 3:06 UTC, mientras que la transferencia errónea de la cantidad total se ejecutó solo 26 minutos después, a las 3:32 UTC.
El atacante actuó con extrema rapidez. Según la firma de seguridad SlowMist, en menos de 30 minutos el USDT fue cambiado por DAI utilizando MetaMask Swap, un movimiento estratégico ya que Tether puede congelar USDT, pero DAI carece de controles centralizados.
El atacante luego convirtió los fondos a aproximadamente 16,690 ETH y depositó 16,680 ETH en Tornado Cash, el mezclador de criptomonedas, dificultando severamente el rastreo en la cadena.
En un intento desesperado por recuperar los fondos, la víctima ofreció al atacante una recompensa de "sombrero blanco" de $1 millón a cambio del regreso del 98% de los activos robados. La víctima también afirmó que había presentado una denuncia penal y estaba recibiendo apoyo de las fuerzas del orden, agencias de ciberseguridad y múltiples protocolos de blockchain.
Opinión del Tema:
La intoxicación de dirección no explota fallas técnicas, sino más bien hábitos cotidianos: copiar y pegar, confiar en el historial, asumir "ya lo intenté". En un entorno donde las transacciones son irreversibles, la automatización de ataques avanza más rápido que la educación del usuario.
💬 ¿Deben las billeteras mostrar direcciones completas por defecto?
Deja tu comentario...
#HackerAlert #USDT #Ethereum #TornadoCash #CryptoNews $ETH
