Una víctima desesperada perdió 50 millones de USDT debido a un fraude de envenenamiento de direcciones

El trágico incidente de diciembre pasado muestra lo rápido que pueden desaparecer enormes sumas de criptomonedas debido a un simple error. Un trader se encontró en una situación desesperada cuando perdió casi 50 millones de USDT tras un ataque avanzado que no utilizó tecnología de punta, sino la tendencia natural del ser humano a confiar en el historial de su navegador y cartera.

Cómo el atacante tendió una trampa al trader

Todo comenzó de manera inocente. El trader quería transferir sus activos de un exchange a una cartera privada y, antes de la transferencia principal, realizó una transacción de prueba por 50 USDT. Sin embargo, esta pequeña transacción a su dirección real se convirtió en una revelación para el atacante, que observaba cada uno de sus movimientos.

El ciberdelincuente generó inmediatamente una dirección falsa de cartera — y aquí está el detalle clave — las cuatro primeras y las cuatro últimas cifras de esa dirección falsificada eran idénticas a las reales. Por ejemplo, si la dirección auténtica era 0xBAF4…F8B5, el estafador creó una dirección que, a simple vista, no podía distinguirse de la original para cualquier usuario.

Historial de transacciones envenenado — una trampa invisible

El atacante envió desde esa dirección falsa una pequeña cantidad de criptomonedas directamente a la víctima. Esta acción fue brillante: arruinó el historial de transacciones del trader, colocando la dirección falsa en las entradas más recientes. La mayoría de las carteras y exploradores de bloques modernos, debido a la longitud de las direcciones, las acortan con puntos suspensivos en medio — por eso la dirección falsificada parecía exactamente igual a la original.

Cuando la víctima decidió transferir los restantes 49,999,950 USDT, cayó en un impulso natural: copió la dirección del destinatario de las últimas transacciones en lugar de obtenerla directamente de la pestaña “Recibir” en su cartera. Un segundo de descuido, un copiar y pegar desde una fuente incorrecta — y los fondos estaban en la cuenta del estafador.

Huida rápida: DAI, ETH y anonimización

Desde el momento en que ocurrió el envenenamiento de la dirección, solo pasaron 30 minutos. En ese breve lapso, los USDT robados fueron convertidos en la stablecoin DAI (que mantiene un valor estable cercano a 1,00 USD), y luego rápidamente convertidos en aproximadamente 16,690 ETH. Según los datos del momento del incidente, ETH valía varios miles de dólares por unidad, confirmando la magnitud de la pérdida en dólares estadounidenses. Las criptomonedas luego pasaron por Tornado Cash, un servicio de mezclado que elimina la relación directa entre la dirección de envío y la de recepción, dificultando prácticamente el rastreo y recuperación de los fondos.

Intento desesperado — y fracaso

Al darse cuenta de lo ocurrido, la víctima envió un mensaje en la cadena al atacante ofreciendo una recompensa: 1 millón de dólares a cambio del 98% de los fondos robados. Era un intento de negociar con la persona que acababa de perder su dinero. ¿Respuesta? Ninguna. Hasta la publicación del informe, los activos no habían sido recuperados.

El reconocido experto en seguridad Specter, que analizó el incidente, expresó su asombro por cómo se desarrolló la situación: «Es quizás la forma menos probable de perder una suma tan grande. Solo tomó unos segundos copiar correctamente la dirección, y toda la tragedia se pudo haber evitado.»

¿Por qué estos ataques son cada vez más comunes?

Con el aumento del valor de las carteras de criptomonedas, los fraudes de envenenamiento de direcciones se han vuelto más rentables para los ciberdelincuentes que nunca. No se trata de un hackeo complejo en protocolos avanzados, ni requiere exploits Zero Day — solo observación, rapidez y aprovechar la naturaleza humana.

Cuatro formas prácticas de protegerse contra el envenenamiento de direcciones

Para evitar un destino similar, tanto traders experimentados como usuarios novatos deben adoptar algunos hábitos sencillos:

Primero, siempre obtén la dirección del destinatario directamente desde la pestaña “Recibir” en tu cartera o directamente de la persona/servicio a quien envías fondos. Nunca copies la dirección desde el historial de transacciones, por más seguro que estés de que es la correcta.

Segundo, añade todas las direcciones confiables a la lista blanca en tu cartera. Muchas carteras modernas ofrecen esta función: permite marcar direcciones como seguras y recibir alertas cuando intentas enviar fondos a una dirección fuera de la lista.

Tercero, si usas la verificación completa de direcciones (full address verification), establece un patrón en tu cartera hardware u otro dispositivo que requiera confirmación física para cada transferencia. Esto añade una segunda capa de verificación: incluso si copias una dirección incorrecta, el dispositivo la mostrará completa y podrás detectar el error.

Cuarto, para transferencias grandes, siempre realiza primero una transacción de prueba de bajo valor. Es una estrategia clásica que usó el trader de este artículo, aunque en su caso, el atacante ya estaba preparado para esa precaución y reaccionó en consecuencia.

Este incidente es una lección recurrente: la seguridad en el mundo de las criptomonedas no siempre depende de las tecnologías más avanzadas — a veces, basta con atención y buenos hábitos.