Un trader de criptomonedas perdió cerca de 50 millones de dólares en una sola operación el 20 de diciembre, convirtiéndose en víctima de un sofisticado ataque de “envenenamiento de direcciones”. En este incidente, 49.999.950 USDT fueron transferidos directamente a la billetera del estafador, lo que pone de manifiesto una crisis de seguridad cada vez más grave, donde ladrones de alta tecnología aprovechan hábitos humanos básicos y limitaciones de la interfaz de usuario para atacar.
Según el investigador on-chain Specter, la víctima, al intentar transferir fondos desde un exchange a su billetera personal, primero realizó una transacción de prueba de 50 USDT a su dirección legítima. Este comportamiento fue detectado por el atacante, quien inmediatamente generó una dirección “falsa” personalizada que coincidía con los primeros y últimos cuatro caracteres de la billetera legítima de la víctima.
Leer más: Estafas cripto en 2025: cómo identificarlas y protegerte
El atacante luego envió una pequeña cantidad de criptomonedas desde esta dirección falsa a la víctima, “envenenando” efectivamente el historial de transacciones del usuario. En discusiones posteriores, Specter lamentó que un trader haya perdido fondos por “la razón menos probable para causar una pérdida tan grande”. En respuesta al también investigador ZachXBT, quien expresó su simpatía por la víctima, Specter dijo:
“Por eso me quedé sin palabras, porque perder una suma tan grande por un simple error es devastador. Solo se necesitaban unos segundos para copiar y pegar la dirección desde la fuente correcta, en vez de tomarla del historial de transacciones. La Navidad arruinada.”
Dado que la mayoría de las billeteras cripto modernas y los exploradores de bloques acortan las largas cadenas alfanuméricas —mostrando puntos suspensivos en el medio (por ejemplo, 0xBAF4…F8B5)—, la dirección falsa parecía idéntica a la de la víctima a simple vista. Así, cuando la víctima procedió a transferir los restantes 49.999.950 USDT, siguió una práctica común: copiar la dirección de recepción desde el historial de transacciones recientes en vez de obtenerla desde la fuente.
En los 30 minutos posteriores al ataque de envenenamiento, casi 50 millones de USDT fueron cambiados por la stablecoin DAI, luego convertidos en aproximadamente 16.690 ETH y lavados a través de Tornado Cash. Al darse cuenta de lo ocurrido, la víctima desesperada envió un mensaje on-chain al atacante, ofreciendo una recompensa white hat de 1 millón de dólares a cambio de la devolución del 98% de los fondos. Hasta el 21 de diciembre, estos activos no habían sido recuperados.
Expertos en seguridad advierten que, a medida que los criptoactivos alcanzan nuevos máximos, estas estafas de “envenenamiento” de baja tecnología y alto rendimiento se están volviendo cada vez más comunes. Para evitar un destino similar, se insta a los holders a obtener siempre la dirección de recepción directamente desde la pestaña “Recibir” de la billetera.
Los usuarios deben incluir en la lista blanca las direcciones de confianza en sus billeteras para evitar errores de ingreso manual. También deberían considerar el uso de dispositivos que requieran confirmación física de la dirección de destino completa, para añadir una segunda capa crítica de revisión.
- ¿Qué ocurrió en el ataque del 20 de diciembre? Un trader perdió cerca de 50 millones de USDT debido a una estafa de envenenamiento de direcciones.
- ¿Cómo funciona la estafa? El atacante falsificó una dirección de billetera que, en su forma acortada, parecía idéntica.
- ¿A dónde se transfirieron las criptomonedas robadas? Los fondos fueron lavados a través de DAI, convertidos en ETH y transferidos mediante Tornado Cash.
- ¿Cómo pueden protegerse los traders?
Siempre copiar la dirección desde la pestaña “Recibir” de la billetera y poner en lista blanca las cuentas de confianza.
