Estafa de medio mil millones de zloty: cómo un clic envió millones a un estafador

El mundo de las criptomonedas recientemente fue testigo de uno de los casos más impactantes de pérdida de fondos en la cadena de bloques. Un usuario de una cartera activa durante casi dos años tuvo un problema. Después de retirar aproximadamente 50 millones de dólares en USDT de una plataforma de intercambio, realizó primero una transferencia de prueba para verificar la corrección del procedimiento. Unos minutos después, procedió a mover la mayor cantidad de fondos — y en ese momento todo salió mal.

Anatomía del ataque de “address poisoning”

Antes de que esto ocurriera, el estafador ya estaba vigilando. Creó una cartera con una dirección muy similar a la que la víctima usaba regularmente para enviar transacciones. En esa dirección falsa envió una cantidad mínima de USDT — suficiente para que apareciera en el historial de transacciones de la víctima.

Cuando el usuario buscó en su cartera la dirección que había usado anteriormente, se topó con ese historial. Las direcciones en la cadena de bloques se muestran como cadenas largas e ilegibles de caracteres — es fácil confundir una con otra, especialmente bajo presión de tiempo. El estafador conocía esta vulnerabilidad. La víctima copió la dirección falsa, confirmó la transacción — y en unos segundos casi 50 millones de dólares se transfirieron a la cartera del atacante. Una distracción, un clic, pérdida total.

Diferentes arquitecturas de blockchain, diferentes riesgos

Charles Hoskinson, fundador de la red Cardano, analizó este incidente desde una perspectiva técnica y llegó a la conclusión: ciertas arquitecturas de blockchain son más resistentes a este tipo de manipulaciones que otras.

Las redes basadas en el modelo de cuentas — incluyendo Ethereum y el ecosistema EVM — fomentan que los usuarios reutilicen direcciones anteriores. El historial de transacciones allí es permanente, lo que significa que las carteras muestran direcciones fijas. Esto las hace vulnerables a este tipo de ataques.

Por otro lado, en las redes que utilizan el modelo UTXO, como Bitcoin o Cardano, cada transacción genera nuevas salidas y las antiguas se consumen. El concepto de “saldo de cuenta” no existe en el sentido tradicional. Por lo tanto, no hay un historial permanente de direcciones que pueda ser “contaminado”. El sistema es estructuralmente más resistente.

Sin embargo, Hoskinson destacó una nuance importante: no se trata de un error en el protocolo o en los contratos inteligentes. Es un problema en la intersección entre el diseño de la interfaz y el comportamiento humano natural.

Respuesta de la industria ante la amenaza

El incidente no pasó desapercibido. En las últimas semanas, los principales proveedores de carteras lanzaron actualizaciones de seguridad, advirtiendo específicamente a los usuarios sobre la costumbre de copiar direcciones del historial. Al mismo tiempo, modificaron las interfaces de validación de direcciones para facilitar la verificación antes de enviar fondos.

Estas acciones muestran que la responsabilidad por la seguridad recae tanto en los diseñadores de carteras como en los usuarios. Ningún protocolo será perfecto si su interfaz facilita la tarea a los estafadores.