Un inversor ha perdido 50 millones de dólares tras ser víctima de una técnica de «envenenamiento de direcciones». ¿Qué ha ocurrido y cómo protegerse de este riesgo?
Un inversor pierde decenas de millones de dólares en un ataque
La empresa de análisis Lookonchain informa esta semana de una pérdida muy importante de un inversor en criptomonedas. La víctima quería transferir 50 millones de USDT y primero transfirió 50 USDT a su propia dirección de monedero, para probarla.
Una vez realizada con éxito esta primera transferencia, envió la suma de 50 millones de dólares a lo que creía que era la misma dirección… Pero un hacker se había adelantado. Este último utilizó la técnica del «address poisoning» para robar los fondos.
Este tipo de «envenenamiento» es sencillo: consiste en enviar una pequeña cantidad a la víctima creando una dirección cuyos primeros y últimos caracteres se parecen a los suyos. El objetivo es que la persona no compruebe la dirección completa y se limite a copiar la dirección de su historial de transacciones.
50 millones de dólares robados, fondos blanqueados
Esto es lo que ocurrió aquí, según Lookonchain:
Dado que muchas carteras ocultan la parte central de la dirección con «…» para mejorar la interfaz de usuario, muchos usuarios suelen copiar la dirección del historial de transacciones y, por lo general, solo comprueban los primeros y últimos caracteres.
Resultado: 50 millones de USDC se esfumaron. La víctima, que quería retirar sus fondos de Binance, en realidad los envió a la dirección falsificada.
A continuación, el estafador blanqueó rápidamente los fondos, según la información compartida por SlowMist. Primero cambió los USDT por DAI a través de MetaMask Swap y, a continuación, cambió todo por ETH. Finalmente, envió estos últimos al mezclador de criptomonedas Tornado Cash.
Una propuesta de acuerdo con el estafador
Resultado: el propietario original de los USDC perdió decenas de millones de dólares en cuestión de minutos. A raíz de ello, publicó un mensaje «on-chain» para proponer un acuerdo a la persona que le había robado sus criptomonedas:
Hemos presentado oficialmente una denuncia penal. Con la ayuda de las fuerzas del orden, las agencias de ciberseguridad y varios protocolos de cadena de bloques, ya hemos reunido información sustancial y útil sobre sus actividades».
Propone al hacker quedarse con un millón de dólares y devolver la mayor parte de la suma. A cambio, el propietario original se compromete a no emprender acciones legales:
Esta es su última oportunidad para resolver este asunto de forma amistosa. Por la presente, se le exige que devuelva el 98 % de los activos robados a la dirección que figura a continuación en un plazo de 48 horas. Se le permite quedarse con 1 000 000 USD como recompensa «white hat» por identificar la vulnerabilidad.
Por el momento, los fondos no han sido restituidos. Esto es una señal más de que hay que estar atento a las direcciones copiadas al transferir fondos. Se recomienda no copiar nunca direcciones desde un explorador de blockchain y comprobar siempre minuciosamente las direcciones completas.
