50 millones de dólares desaparecen en segundos: error de copiar y pegar dirección de wallet desencadena una de las estafas de direcciones más costosas del mundo cripto

Puntos clave:

• Un usuario de criptomonedas perdió casi $50 millones en USDT después de copiar una dirección de billetera falsa del historial de transacciones.
• El ataque utilizó envenenamiento de direcciones, aprovechando interfaces de billetera que ocultan la parte media de las direcciones.
• Los fondos fueron rápidamente intercambiados y enrutados a través de múltiples billeteras, con porciones enviadas a Tornado Cash, limitando las opciones de recuperación.

Un solo error de copiar y pegar ha resultado en uno de los errores de usuario más costosos jamás registrados en cadena. El incidente resalta cómo los simples hábitos de interfaz pueden anular un comportamiento por lo demás cauteloso y conducir a pérdidas irreversibles.

Cómo una Transferencia de Prueba de Rutina se Convirtió en una Pérdida de $50M

Según investigadores en cadena, incluyendo Lookonchain, la víctima comenzó con un paso que muchos usuarios experimentados consideran una buena práctica: una pequeña transacción de prueba. El usuario envió 50 USDT a una dirección de billetera personal familiar para confirmar la precisión antes de mover una cantidad mucho mayor.

Sin embargo, esa transferencia de prueba se convirtió en el detonante.

En cuestión de momentos, un estafador implementó una táctica de envenenamiento de direcciones. El atacante creó una dirección de billetera que tenía los mismos primeros y últimos cuatro dígitos que la dirección genuina de la víctima. Luego se envió una pequeña transacción a la víctima en esta dirección que parecía la real, asegurándose de que se registrara en el historial de transacciones de la billetera.

Cuando la víctima regresó para completar la transferencia principal: 49.999.950 USDT, copiaron la dirección del historial de transacciones en lugar de la fuente original guardada. Debido a que muchas interfaces de billetera truncan las direcciones con "…", la dirección falsa parecía legítima a primera vista. El dinero fue transferido de inmediato y permanentemente al hacker.

Leer más: Pi Network Señala Billetera de Estafa en Medio de Riesgos de Token de $346M Mientras 60M de Usuarios Esperan Desbloqueo

Envenenamiento de Direcciones: Un Ataque de Baja Tecnología con Alto Impacto

No hay necesidad de hackear claves personales o hacer uso de contratos inteligentes. Depende de la interfaz humana y el comportamiento.

Por Qué Este Ataque Aún Funciona a Gran Escala

La mayoría de las billeteras abrevian las direcciones para mejorar la legibilidad. Las transferencias son verificadas frecuentemente por el usuario comprobando la primera y la última parte de la dirección. Esto es abusado por atacantes que generan direcciones que reflejan tales caracteres visibles.

En este caso, el estafador hizo esto inmediatamente después de la transacción de prueba y significa monitoreo automático. El atacante hizo que la conveniencia ocultara una mejor razón para tomar precauciones al colocar una dirección casi idéntica en el historial de transacciones de la víctima.

Este método se considera básico en comparación con complejas explotaciones DeFi. Sin embargo, el resultado muestra que incluso las estafas "simples" pueden producir pérdidas catastróficas cuando están involucradas grandes sumas.

Movimientos en Cadena Después del Robo

Los registros de blockchain muestran que el USDT robado no permaneció inactivo. El atacante intercambió muy rápidamente parte de los fondos a ETH y los envió a varias billeteras, lo cual es típico para disminuir la trazabilidad.

Los activos fueron posteriormente transferidos a Tornado Cash, un mezclador de privacidad que oculta los rastros de las transferencias. Tan pronto como el dinero se invierte en tales servicios, la recuperación es extremadamente improbable sin una acción inmediata de los intercambios o validadores.

La cadena de billeteras fue descrita por analistas que afirmaron que era eficiente y preplaneada, lo que significa que el estafador estaba listo para actuar tan pronto como se realizara la gran transferencia.

Por Qué Este Caso Sorprendió a los Analistas

El envenenamiento de direcciones es ampliamente conocido y a menudo se discute como una estafa molesta que involucra pequeñas cantidades. Lo que hace que este caso se destaque es la escala y el perfil del error.

La víctima siguió un paso de seguridad común al probar con una pequeña transferencia. Irónicamente, esa acción le dio al atacante la señal necesaria para implementar la dirección falsa en el momento exacto.

Los observadores en cadena señalaron que solo unos segundos dedicados a copiar la dirección de la fuente original, en lugar del historial de transacciones, habrían prevenido la pérdida por completo. La velocidad de la finalidad de blockchain no dejó ventana para la reversión.

Leer más: Shenzhen Emite Alerta de Fraude de Criptomonedas Mientras las Estafas de Stablecoin se Multiplican en China

Diseño de Billetera y el Factor Humano

Este incidente plantea preguntas sobre las opciones de UX de billetera. Las direcciones truncadas mejoran la claridad visual pero reducen la seguridad para los usuarios que manejan grandes sumas.

Algunas billeteras ahora advierten a los usuarios sobre el envenenamiento de direcciones o marcan direcciones que se asemejan mucho a las conocidas. Otras ofrecen listas blancas de direcciones, donde las transferencias están restringidas a direcciones preaprobadas. Sin embargo, la adopción de estas características sigue siendo inconsistente.

Para transferencias de alto valor, la dependencia solo en verificaciones visuales ha demostrado ser insuficiente. El caso muestra cómo incluso los usuarios experimentados pueden caer en patrones predecibles bajo presión de tiempo.

La publicación $50M Desaparecen en Segundos: Error de Billetera al Copiar y Pegar Desencadena una de las Estafas de Direcciones Más Costosas de las Criptomonedas apareció primero en CryptoNinjas.