Rekt: usuarios de Ethereum nuevamente víctimas del poisoning attack

Cuidado: los hackers industrializan el robo en monederos de Ethereum

La actualización Fusaka ha reducido drásticamente las comisiones en Ethereum y ha impulsado su escalabilidad, pero también ha facilitado una nueva oleada de ataques de envenenamiento de direcciones. Con el envío masivo de transacciones falsas ahora más barato que nunca, los hackers han industrializado el «poisoning», provocando pérdidas millonarias entre usuarios que confían en el historial reciente de sus monederos.

La red Ethereum ha alcanzado un punto de inflexión con la implementación de la actualización Fusaka, activada el pasado 3 de diciembre de 2025. Si bien este hito representa un avance significativo hacia la escalabilidad masiva y la reducción de costes operativos para el usuario promedio, ha traído consigo una consecuencia imprevista en el ámbito de la seguridad: la democratización del ataque de poisoning o envenenamiento de direcciones.

Y es que en los últimos meses, un reciente informe de seguridad de Talos, ha revelado pérdidas millonarias debido a una explotación sofisticada de la arquitectura de la interfaz de usuario y de la psicología del poseedor de activos digitales.

Este fenómeno no se debe a un fallo en el código del protocolo de Ethereum, sino a una manipulación del historial de transacciones facilitada por la caída drástica en las tarifas de gas. Al reducirse las barreras económicas para el envío masivo de transacciones, los actores malintencionados han industrializado el proceso de «envenenar» monederos, saturando las aplicaciones con direcciones visualmente similares a las legítimas con la esperanza de que un error de «copiar y pegar» resulte en el drenado total de fondos.

EL TRUCO DE LOS HACKERS PARA VACIAR TU MONEDERO WEB3 CON TRANSACCIONES SIMULADAS

La actualización Fusaka y el desplome de tarifas

Para comprender por qué el ataque de poisoning ha resurgido con tal virulencia, es imperativo analizar los cambios estructurales introducidos por la actualización Fusaka. Esta actualización fue diseñada para optimizar la disponibilidad de datos y mejorar la eficiencia de las capas de ejecución.

La mecánica de PeerDAS y la capacidad de blobs

El componente central de Fusaka es el EIP-7594, conocido como Peer-to-Peer Data Availability Sampling o PeerDAS. Esta innovación permite a los nodos de la red verificar que los datos de una transacción (blobs) están disponibles sin necesidad de descargar el conjunto de datos completo.

Mediante el uso de una extensión de codificación de borrado unidimensional basada en códigos Reed-Solomon, los datos se dividen en celdas, filas y columnas, permitiendo que un nodo tenga una confianza estadística alta de la integridad del bloque mediante el muestreo de solo una fracción de los datos.

El aumento del límite de gas a 60 millones, combinado con la eficiencia de PeerDAS, ha provocado que el coste de enviar un activo digital en la red principal de Ethereum caiga a niveles comparables con las redes de Layer 2 previas a 2025. De acuerdo con análisis de mercado, las tarifas de transacción han disminuido aproximadamente un 96,5% desde principios de 2024, alcanzando promedios de solo 0,20 dólares por operación, e incluso menos para transferencias simples de tokens.

La erosión del «impuesto al spam»

Históricamente, Ethereum mantenía una barrera económica natural contra el spam debido a sus tarifas de gas elevadas. Enviar millones de transacciones «basura» o «polvo» (dust) era financieramente inviable para un atacante.

Sin embargo, en el entorno post-Fusaka, el coste de enviar 10 millones de transacciones de envenenamiento se ha reducido enormemente. Esta desaparición del «impuesto al spam» ha permitido que campañas industriales de envenenamiento saturen el historial de millones de usuarios simultáneamente.

Básicamente, las mejoras de Fusaka han impulsado el auge de los poisoning attacks, haciendo económico iniciar dichos ataques, y con el mayor aumento de uso de la red, se ha generado la masa crítica para que estos ataques causen grandes estragos.

CÓMO EL HACKER DEL FC BARCELONA GANÓ 26.000 $ EN HORAS CON PUMP.FUN

Anatomía de un ataque de poisoning

El ataque de poisoning es esencialmente una táctica de ingeniería social que se apoya en una vulnerabilidad técnica menor: la forma en que las interfaces de las carteras digitales truncan las direcciones de Ethereum.

Recordemos que una dirección de Ethereum es una cadena hexadecimal de 42 caracteres (por ejemplo, 0x77f6ca8E…b62bfc65). Dado que es casi imposible para un ser humano memorizar tales cadenas, la mayoría de los usuarios solo verifican los primeros cuatro y los últimos cuatro caracteres antes de confirmar una transferencia. Y allí está la falla, pues los atacantes explotan este hábito utilizando herramientas de generación de direcciones de vanidad (vanity addresses) como Profanity2 o Profanity3.

Estas herramientas utilizan la potencia de procesamiento de las unidades de procesamiento gráfico (GPU) para generar direcciones que tengan exactamente el mismo prefijo y sufijo que la dirección a la que la víctima suele enviar sus activos digitales.

Una vez que el atacante identifica un objetivo de alto valor (como una ballena o una cartera institucional), analiza su historial público en el explorador de bloques para identificar sus direcciones de destino frecuentes, como las de intercambios centralizados o mesas de operaciones (OTC). Luego, genera una dirección «gemela» visual y envía una pequeña cantidad de un activo digital (a menudo un token de valor cero que imita a uno legítimo) a la víctima. Esta transacción «envenena» el historial reciente de la cartera de la víctima, posicionando la dirección del atacante en el lugar donde el usuario normalmente copiaría su dirección de confianza.

Automatización y contratos de distribución masiva

La escala actual de estos ataques se logra mediante contratos inteligentes especializados que automatizan la distribución del «polvo» de envenenamiento. El investigador Andrey Sergeenkov, identificó contratos como 0x455bf23ea7575a537b6374953fa71b5f3653272c, que han sido responsables de enviar millones de transferencias de cebo a cientos de miles de direcciones únicas.

Estos contratos utilizan funciones como fundPoisoners para financiar múltiples carteras de ataque en una sola transacción, enviando tanto el activo digital de cebo como pequeñas fracciones de Ether para cubrir el gas de las futuras transacciones de los «envenenadores». Esta estructura jerárquica permite que el ataque escale rápidamente, saturando la red y las métricas de uso de Ethereum con actividad no orgánica.

Impacto en los usuarios

La efectividad del ataque de poisoning ha quedado demostrada por una serie de incidentes de alto perfil ocurridos entre diciembre de 2025 y febrero de 2026. A pesar de la educación constante en seguridad, la sofisticación del mimetismo visual sigue cobrando víctimas.

Solo en febrero de 2026, un usuario perdió 600.000 dólares tras copiar una dirección envenenada de su historial de transacciones. Apenas una semana antes, otro inversor perdió 350.000 dólares bajo circunstancias aún más preocupantes: el usuario había realizado una transacción de prueba inicial, pero «el fondo de prueba no fue debidamente confirmado antes de enviar la cantidad principal».

VARIOS PROTOCOLOS DEFI ESTÁN SIENDO VÍCTIMAS DE UN HACKEO DNS

Este incidente subraya una táctica avanzada, y es que, los atacantes, a menudo monitorizan la red en tiempo real y, en cuanto detectan una transacción de prueba legítima, envían inmediatamente una transacción de envenenamiento desde una dirección similar para que la última entrada en el historial de la víctima sea la del atacante y no la del destinatario real. Si el usuario copia la última dirección que aparece en su monedero sin verificar cada carácter, podría terminar perdiendolo todo.

El robo récord de 12,4 millones de dólares

Y esto nuevamente da resultado. Por ejemplo, el 30 de enero de 2026, se informó de una de las mayores pérdidas individuales hasta la fecha: un poseedor de activos digitales perdió 4556 ETH (aproximadamente 12,4 millones de dólares) en lo que parecía ser una transferencia rutinaria hacia un depósito OTC.

En este caso, el atacante había estado «envenenando» sistemáticamente la cartera de la víctima durante más de dos meses, enviando transferencias de bajo valor de forma persistente desde la activación de Fusaka. Esta persistencia aumentó las probabilidades de que, en un momento de prisa o falta de atención, el usuario copiara la dirección errónea.

Con esto, los hackers hacen auténticas fortunas, y todo lo que deben hacer es escuchar la red, tener direcciones preparadas para el poisoning, y esperar a que el usuario caiga en la trampa. Así, el lema «no confíes, verifica» debe evolucionar hacia «verifica todo, no solo los extremos» para sobrevivir en la nueva era de transacciones de bajo coste.

Comparte esto: