Un operador de criptomonedas perdió cerca de 50 millones de dólares en una sola transacción el 20 de diciembre, convirtiéndose en víctima de un sofisticado ataque de “envenenamiento de direcciones”. En este incidente, 49,999,950 USDT fueron transferidos directamente a la cartera del estafador, destacando una crisis de seguridad cada vez más grave, donde ladrones de alta tecnología explotan hábitos humanos básicos y limitaciones de la interfaz de usuario.
Según el investigador on-chain Specter, la víctima, al intentar transferir fondos desde un exchange a su cartera personal, realizó primero una transacción de prueba de 50 USDT a su dirección legítima. Este acto fue detectado por el atacante, quien inmediatamente generó una dirección “falsa” personalizada que coincidía con los primeros y últimos cuatro caracteres de la cartera legítima de la víctima.
Leer más: Estafas cripto en 2025: cómo identificarlas y protegerte
El atacante luego envió una pequeña cantidad de criptomonedas desde esta dirección falsa a la víctima, “envenenando” efectivamente el historial de transacciones del usuario. En discusiones posteriores, Specter lamentó que un operador perdiera fondos por “la razón menos probable para causar una pérdida tan grande”. En respuesta al también investigador ZachXBT, quien expresó simpatía por la víctima, Specter dijo:
“Por eso me quedé sin palabras, perder una suma tan grande por un simple error. Solo se necesitaban unos segundos para copiar y pegar la dirección desde la fuente correcta, en lugar de tomarla del historial de transacciones. La Navidad arruinada.”
Dado que la mayoría de las carteras cripto modernas y los exploradores de bloques truncan las largas cadenas alfanuméricas —mostrando puntos suspensivos en el medio (por ejemplo, 0xBAF4…F8B5)—, la dirección falsa parecía idéntica a la de la víctima a simple vista. Así, cuando la víctima procedió a transferir los restantes 49,999,950 USDT, siguió una práctica común: copiar la dirección de recepción desde el historial de transacciones reciente en lugar de obtenerla desde la fuente.
En los 30 minutos posteriores al ataque de envenenamiento, cerca de 50 millones de USDT fueron convertidos a la stablecoin DAI, luego cambiados por aproximadamente 16,690 ETH y lavados a través de Tornado Cash. Al darse cuenta de lo sucedido, la víctima desesperada envió un mensaje on-chain al atacante, ofreciendo una recompensa de white hat de 1 millón de dólares a cambio de la devolución del 98% de los fondos. Hasta el 21 de diciembre, estos activos aún no habían sido recuperados.
Expertos en seguridad advierten que, a medida que los activos cripto alcanzan nuevos máximos, estas estafas de “envenenamiento” de baja tecnología y alto rendimiento se están volviendo cada vez más comunes. Para evitar un destino similar, se insta a los titulares a obtener siempre la dirección de recepción directamente desde la pestaña “recibir” de la cartera.
Los usuarios deben incluir en la lista blanca las direcciones de confianza en sus carteras para evitar errores de entrada manual. También deberían considerar el uso de dispositivos que requieran confirmación física de la dirección de destino completa, para proporcionar una segunda capa crítica de revisión.
- ¿Qué ocurrió en el ataque del 20 de diciembre? Un operador perdió cerca de 50 millones de USDT debido a una estafa de envenenamiento de direcciones.
- ¿Cómo funciona la estafa? El atacante falsificó una dirección de cartera que, en su forma truncada, parecía idéntica a la original.
- ¿A dónde se transfirieron las criptomonedas robadas? Los fondos fueron lavados a través de DAI, convertidos a ETH y transferidos mediante Tornado Cash.
- ¿Cómo pueden los operadores protegerse?
Siempre copiar la dirección desde la pestaña “recibir” de la cartera y poner en lista blanca las cuentas de confianza.
