Una víctima desesperada perdió 50 millones de USDT – cómo los estafadores perfeccionaron el ataque de envenenamiento de direcciones

La historia ocurrida el 20 de diciembre muestra cómo un simple error humano puede conducir a pérdidas catastróficas. Un trader de criptomonedas se encontró en una situación desesperada, perdiendo casi 50 millones de dólares debido a una manipulación avanzada de la dirección de su cartera. Esto es una advertencia para toda la industria: las estafas modernas no requieren tecnología avanzada; basta con entender la naturaleza humana y las limitaciones de las interfaces de usuario.

Cómo realmente funcionó el ataque a la cartera del trader

Todo comenzó con una tarea rutinaria. La víctima quería transferir fondos desde un intercambio a su propia cartera y, de manera sensata, realizó primero una transacción de prueba de 50 USDT a la dirección correcta. Este error resultó fatal, ya que el atacante observaba cada movimiento.

En unos minutos, el estafador generó una dirección falsa de cartera, cuya construcción era ingeniosa en su simplicidad. Los primeros cuatro y los últimos cuatro caracteres eran iguales a la dirección real de la víctima. ¿Por qué funcionó esto? Las carteras modernas y los exploradores de bloques acortan largas cadenas alfanuméricas, mostrándolas en forma de puntos suspensivos en medio (por ejemplo, 0xBAF4…F8B5). Para un ojo no entrenado, ambas direcciones parecían idénticas.

Luego, el atacante envió desde la dirección falsa una pequeña cantidad de criptomonedas a la víctima, “contaminando” su historial de transacciones. Era una trampa perfectamente preparada.

De la prueba a la tragedia: pérdida de 50 millones en 30 minutos

La víctima desesperada, al ver en su historial de transacciones una dirección que parecía confiable, la copió en lugar de obtenerla de la fuente original. Ese fue el momento que cambió su vida.

Transferió los restantes 49,999,950 USDT a la dirección falsificada. En solo 30 minutos desde el ataque, comenzó un largo viaje de los fondos robados:

• Casi 50 millones de USDT fueron convertidos en stablecoin DAI (que mantiene su precio en $1.00)
• Luego, se convirtieron en aproximadamente 16,690 ETH (que históricamente valen mucho más que los $2.080 por moneda actuales)
• Finalmente, los activos llegaron a Tornado Cash, una mezcla que garantiza anonimato

El experto en cadenas de bloques Specter comentó sobre este caso, que por ahora muestra una desesperación inusual: “Una pérdida por la causa menos probable — por un simple error. Solo se necesitaban unos segundos para copiar la dirección de la fuente correcta”. Su colega investigador ZachXBT, que mostró empatía por la víctima, escuchó en respuesta: “Las Navidades han sido arruinadas”.

Dónde terminaron las criptomonedas: camino a través de DAI y Tornado Cash

Tras entender qué había ocurrido, la víctima desesperada envió un mensaje en la cadena al atacante, ofreciendo 1 millón de dólares por la devolución del 98% de los fondos. Sin embargo, hasta el 21 de diciembre, los activos no habían sido recuperados. Se perdieron en la maraña de stablecoins y la mezcla de Tornado Cash, prácticamente imposible de rastrear.

Cómo protegerse contra el poisoning de direcciones

Los expertos en seguridad destacan que, con el aumento del valor de los activos criptográficos, este tipo de ataques se vuelven cada vez más comunes. No es una amenaza futura, sino una que ya está aquí.

Para evitar un destino similar:

• Siempre obtén la dirección del destinatario directamente desde la pestaña “Recibir” en tu cartera, nunca de la historia de transacciones
• Añade direcciones confiables a la lista blanca en tu cartera, para protegerte de errores comunes al ingresarlas manualmente
• Considera usar dispositivos de cartera hardware que requieran confirmación física de la dirección completa, proporcionando una segunda capa de verificación
• Copia la dirección, pégala y antes de finalizar la transacción, compara algunos caracteres en ambos extremos, incluso si hay puntos suspensivos en medio

La historia del 20 de diciembre es una advertencia para toda la industria. En un mundo donde los activos digitales valen miles de millones, los estafadores no necesitan tecnología avanzada. Basta con hábitos humanos y paciencia.