Una lección costosa del fraude de "contaminación" de direcciones: Cuando las memes esperan, los errores simples pueden costar decenas de millones de USDT

En medio del ambiente de emoción cuando el mercado de criptomonedas alcanza nuevos máximos, un incidente de seguridad ocurrido el 20 de diciembre recordó a la comunidad que una acción involuntaria puede resultar en la pérdida total de activos. Este trader experimentó la desesperación tras perder cerca de 50 millones de USD en USDT, no por una operación fallida o volatilidad del mercado, sino por confiar en una dirección falsa en su propio historial de transacciones.

Cómo funciona la estafa sofisticada

La historia comienza con una acción sencilla: la víctima realiza una transacción de prueba de 50 USDT para verificar si retirar fondos de la plataforma hacia su billetera personal funciona correctamente. Sin embargo, el atacante detectó esto inmediatamente mediante monitoreo on-chain y ejecutó una estrategia elaborada.

Crearon una dirección de billetera “falsa” cuyos cuatro primeros y cuatro últimos caracteres coinciden exactamente con la billetera legítima de la víctima. Dado que la mayoría de las billeteras modernas acortan largas cadenas de caracteres a formatos como “0xBAF4…F8B5”, al revisar el historial de transacciones, la dirección falsa resulta indistinguible.

Luego, el atacante envió una pequeña cantidad de fondos desde esta dirección falsa a la víctima, “contaminando” su historial de transacciones. Cuando la víctima continuó retirando cantidades mayores, la costumbre común de copiar la dirección desde el historial en lugar de verificarla cuidadosamente fue aprovechada.

La acción oculta tras la sustracción

Cuando se transfirieron 49.999.950 USDT, todo terminó en unos 30 minutos. Según el investigador on-chain Specter, esta enorme suma fue convertida inmediatamente en DAI (Dai - stablecoin), luego en aproximadamente 16.690 ETH (valor actual de unos $3.12K por ETH), y finalmente lavada a través de Tornado Cash — un mixerDAO que sigue siendo la herramienta favorita de los estafadores.

Al darse cuenta de la pérdida de 50 millones de USD, la víctima desesperada envió un mensaje on-chain ofreciendo una recompensa de 1 millón de USD en white-hat si le devolvían el 98% del dinero. Sin embargo, hasta el 21 de diciembre, estos activos permanecían en la sombra de la blockchain.

Por qué los memes esperan ganancias eternas, pero la seguridad no

Lo preocupante es que estas estafas de “contaminación” no requieren tecnología avanzada. Aprovechan dos vulnerabilidades básicas:

1. Interfaz de usuario acortada: Los exploradores de blockchain y las billeteras modernas muestran las direcciones en forma abreviada para ahorrar espacio. Esto crea una zona gris que los atacantes pueden explotar. Solo necesitan hacer que los cuatro primeros y últimos caracteres coincidan, mientras que el resto queda oculto.

2. El hábito de copiar y pegar de las personas: Todos los usuarios de criptomonedas saben que la regla es “nunca ingresar manualmente una dirección”, por lo que copiar desde el historial de transacciones se vuelve el método predeterminado. Los atacantes comprenden esto perfectamente.

Specter comenta: “Solo toma unos segundos copiar la dirección desde la pestaña ‘recibir’ oficial en lugar del historial, y ya se arruinó la Navidad.” Esta declaración del investigador no solo refleja frustración, sino que también es una advertencia grave para toda la comunidad.

Lecciones para prevenir

A medida que el mercado de criptomonedas alcanza nuevos máximos, estas estafas de “contaminación” se vuelven más frecuentes. Para protegerse, los traders deben seguir estos pasos:

Usar listas blancas: Añadir las billeteras y direcciones confiables a una lista blanca en la aplicación de la billetera. Esto crea una capa adicional de protección contra direcciones nuevas o no verificadas.

Obtener direcciones desde la pestaña “recibir”: En lugar de copiar desde el historial, siempre solicitar la dirección desde la pestaña “recibir” de la billetera para generar una nueva o confirmar la actual.

Utilizar dispositivos de autenticación física: Dispositivos como Ledger o Trezor requieren confirmar toda la dirección en la pantalla del dispositivo, no en la computadora. Esto añade una segunda capa de verificación importante.

Preguntas frecuentes

¿Por qué una transacción de prueba de 50 USDT se convirtió en cebo para el atacante?

Esa transacción deja un registro en la blockchain que el atacante puede detectar. Pueden ver la dirección receptora y usar monitoreo on-chain para crear una dirección falsa similar.

¿Por qué no se puede rastrear el dinero después de que pasa por Tornado Cash?

Tornado Cash es un mixer que oculta el origen del dinero mezclando múltiples transacciones. Una vez que el dinero pasa por él, rastrear en la blockchain se vuelve extremadamente difícil o casi imposible.

¿Hay alguna otra forma de protegerse?

Además de las medidas anteriores, los usuarios deben mantener actualizadas sus billeteras y aplicaciones, evitar usar billeteras web públicas y verificar siempre la URL antes de acceder. Con los memes en el mercado, la precaución nunca sobra.

¿La víctima puede recuperar el dinero?

Es muy difícil. Una vez que el dinero pasa por Tornado Cash y no hay un marco legal claro, la recuperación es casi imposible. Por eso, la prevención es más importante que la reparación.