Un inversor ha perdido 50 millones de dólares tras ser víctima de una técnica de «envenenamiento de direcciones». ¿Qué ha ocurrido y cómo protegerse de este riesgo?
Un inversor pierde decenas de millones de dólares en un ataque
La empresa de análisis Lookonchain informa esta semana de una pérdida muy importante sufrida por un inversor en criptomonedas. La víctima deseaba transferir 50 millones de USDT y, en primer lugar, transfirió 50 USDT a su propia dirección de monedero, con el fin de probarla.
Una vez realizada con éxito esta primera transferencia, envió la suma de 50 millones de dólares a lo que creía que era la misma dirección… Excepto que un hacker se había adelantado. Este último utilizó, de hecho, la técnica del «envenenamiento de direcciones» para sustraer los fondos.
Este tipo de «envenenamiento» es sencillo: consiste en enviar una pequeña suma a la víctima creando una dirección cuyos primeros y últimos caracteres se asemejan a los de la suya. El objetivo es que la persona no compruebe la dirección completa y se limite a copiarla de su historial de transacciones.
50 millones de dólares robados, fondos blanqueados
Esto es lo que ocurrió en este caso, según Lookonchain:
Dado que muchas carteras ocultan la parte central de la dirección con «…» para mejorar la interfaz de usuario, muchos usuarios suelen copiar la dirección del historial de transacciones y, por lo general, solo comprueban los primeros y últimos caracteres.
La dirección falsa junto a la de la víctima
Resultado: 50 millones de USDC se esfumaron. La víctima, que deseaba retirar sus fondos de Binance, los envió en realidad a la dirección falsificada.
A continuación, el estafador blanqueó rápidamente los fondos, según la información compartida por SlowMist. En primer lugar, cambiando los USDT por DAI a través de MetaMask Swap, y luego cambiando todo ello por ETH. Finalmente, envió estos últimos al mezclador de criptomonedas Tornado Cash.
Una propuesta de acuerdo con el estafador
Resultado: el propietario original de los USDC perdió decenas de millones de dólares en cuestión de minutos. A raíz de ello, publicó un mensaje «on-chain» para proponer un acuerdo con la persona que le había robado sus criptomonedas:
Hemos presentado oficialmente una denuncia penal. Con la ayuda de las fuerzas del orden, agencias de ciberseguridad y varios protocolos blockchain, ya hemos recopilado información sustancial y útil sobre sus actividades.
Le propone al hacker quedarse con un millón de dólares y devolver la mayor parte de la suma. A cambio, el titular original se compromete a no emprender acciones legales:
Esta es su última oportunidad para resolver este asunto de forma amistosa. Por la presente, se le exige que devuelva el 98 % de los activos robados a la dirección que figura a continuación en un plazo de 48 horas. Se le autoriza a quedarse con 1 000 000 USD en concepto de prima de «white hat» por la identificación de la vulnerabilidad.
Por el momento, los fondos no han sido restituidos. Esto es una señal más de que hay que estar atentos a las direcciones copiadas durante las transferencias de fondos. Se recomienda no copiar nunca una dirección desde un explorador de blockchain y verificar siempre minuciosamente las direcciones completas.
