Una persona perdió 50 millones de dólares en USDT en menos de una hora mediante una estafa conocida como envenenamiento de direcciones, uno de los métodos de fraude más difíciles de detectar en el ecosistema cripto. El caso ha sido difundido por la firma de ciberseguridad Web3 Antivirus, que lo califica como una de las mayores pérdidas provocadas por este tipo de ataque.
Según la información publicada en la cuenta de X de Web3 Antivirus, la víctima retiró los fondos desde Binance y, menos de una hora después, realizó la transferencia errónea en la que acabó enviando los 50 millones de USDT directamente a la dirección del atacante. La billetera afectada llevaba activa en blockchain desde hacía aproximadamente dos años y la persona afectada la utilizaba principalmente para transferencias de USDT, lo que indica que no se trataba de un usuario novel ni de una wallet recién creada.
Transacción de prueba
Antes de realizar la transferencia principal, la víctima envió una pequeña transacción de prueba para verificar que la dirección de destino era correcta. Esa primera operación se realizó sin problemas. El error se produjo en el segundo envío. Al copiar de nuevo la dirección para transferir el importe completo, el usuario seleccionó sin darse cuenta una dirección falsa, casi idéntica a la original, creada previamente por el atacante y ya presente en el historial de transacciones de la wallet. El resultado fue el envío de 50 millones de dólares a un estafador.
Europol desmantela una red que lavó más de €700 millones con cripto
En el denominado envenenamiento de direcciones, el atacante monitoriza wallets activas y con alto volumen de transacciones. Envía pequeñas transferencias desde direcciones creadas para parecerse visualmente a direcciones legítimas del usuario. Dichas direcciones falsas coinciden en los primeros y últimos caracteres, que son los que la mayoría de interfaces muestran y los que el usuario suele verificar de forma rápida. La dirección envenenada queda registrada en el historial de la wallet y cuando el usuario copia una dirección desde ese historial, puede copiar la falsa creyendo que es la correcta.
Direcciones no legibles para humanos
Dado que las direcciones blockchain tienen 42 caracteres alfanuméricos y no son legibles para humanos, el error es fácil de cometer incluso para usuarios experimentados. Así, pese a que la víctima había realizado una transacción de prueba, el ataque se produce precisamente entre la transacción pequeña y la grande.
Lo que hacen los atacantes especializados en este tipo de fraude es monitorizar en tiempo real los grandes retiros desde exchanges centralizados. Un retiro de decenas de millones suele anticipar una transferencia posterior, y el margen de tiempo entre ambas operaciones es el momento ideal para actuar. En este caso, el tiempo que pasó desde la retirada desde Binance y la transferencia fraudulenta fue menos de una hora.
La dirección correcta se usó en el primer envío, pero el atacante ya había colocado la dirección falsa en el historial de la víctima. Por ello, en el segundo copiado manual, la víctima seleccionó la dirección equivocada. La blockchain ejecutó exactamente la orden recibida. Y, como siempre, no hubo alertas, advertencias ni mecanismos de reversión. Este caso vuelve a poner de relieve que las direcciones de las billeteras no están diseñadas para humanos.

