Un comerciante de criptomonedas ha perdido casi 50 millones de dólares en USDT después de ser víctima de una estafa de envenenamiento de direcciones, una técnica que explota el historial de transacciones en lugar de las fallas de los contratos inteligentes. Las empresas de seguridad blockchain dijeron que el incidente resalta cómo los hábitos rutinarios de billetera pueden exponer a los usuarios a pérdidas a gran escala.
en un X publicaciónla firma de análisis en cadena Lookonchain informó que la víctima transfirió 49,999,950 USDT a una billetera controlada por el atacante el 20 de diciembre. Los fondos acababan de ser retirados de Binance y estaban destinados a la propia dirección del comerciante. En cambio, fueron redirigidos a una dirección visualmente similar creada por el atacante.
Estafa de envenenamiento de direcciones explota direcciones falsificadas
El incidente comenzó con una transacción de prueba. El comerciante envió una transacción de prueba de 50 USDT para confirmar la dirección de destino. Poco después, un script automatizado generó una billetera falsificada diseñada para parecerse a la dirección legítima. Este paso marcó el inicio de la estafa de envenenamiento de direcciones.
La dirección fraudulenta compartía los mismos caracteres de apertura y cierre que la billetera prevista, con diferencias limitadas al centro de la cadena. Muchas interfaces de billetera acortan estos caracteres intermedios, lo que reduce la visibilidad durante las comprobaciones de rutina.
Al explotar este comportamiento de visualización, el atacante envió pequeñas transacciones desde la dirección similar a la billetera de la víctima. Esto insertó la dirección falsa en el historial de transacciones, haciendo que pareciera legítima durante transferencias posteriores.
Cuando más tarde el comerciante copió una dirección de su historial para completar la transferencia completa, la dirección similar probablemente fue seleccionada por error. Los datos de Etherscan muestran que el pago de prueba se envió a las 3:06 UTC. La transacción errónea de 50 millones de dólares se produjo aproximadamente 26 minutos después, a las 3:32 UTC.
Fondos robados movidos a través de DAI, ETH y Tornado Cash
La empresa de seguridad blockchain SlowMist informó que el atacante actuó rápidamente para minimizar el riesgo de recuperación. En 30 minutos, el Se cambiaron $50 USDT por DAI por vía MetaMask Swap. La decisión fue estratégica porque Tether puede congelar el USDT si está asociado con actividades ilícitas, pero DAI no viene con congelaciones centralizadas.
Luego, el atacante convirtió el DAI en aproximadamente 16,690 ETH. Se depositaron aproximadamente 16,680 ETH en Tornado Cash. El mezclador fue un intento de ofuscar los rastros de las transacciones, el paso habitual posterior a una estafa de envenenamiento de direcciones.
Al ejecutar la transacción, la víctima envió un mensaje en cadena al atacante mediante una recompensa de sombrero blanco de 1 millón de dólares. La oferta exigía la devolución del 98% del dinero robado. No ha habido reconocimiento ni respuesta pública. Las empresas de seguridad permanecen activas monitoreando la estafa de envenenamiento de direcciones.
Según Chainalysis, el incidente contribuye a un año de crecientes robos de criptomonedas. Las pérdidas por hackeos de criptomonedas en 2025 superaron los 3.400 millones de dólares, más que el año anterior. Uno de ellos, una violación de Bybit en febrero por parte de actores vinculados a Corea del Norte, ascendió a unos 1.400 millones de dólares y fue el mayor robo de criptomonedas de la historia.