La estafa de 24 millones de USD revela la trampa astuta en la historia de las transacciones

El mercado de criptomonedas acaba de registrar otra pérdida impactante. Aproximadamente 24 millones de USD en stablecoins desaparecieron de una billetera relacionada con el KOL crypto Sillytuna, después de que la víctima cayera en la trampa del “envenenamiento de direcciones” — una estafa que parece simple pero que se vuelve cada vez más efectiva en el ecosistema DeFi.

Según una investigación de la empresa de seguridad blockchain PeckShield, la dirección de la billetera 0xd2e8…ca41 fue utilizada para retirar unos 24 millones de USD en aEthUSDC tras una transacción realizada por error a la dirección del atacante. Lo notable es que esta transacción no fue un hackeo complejo, sino que se originó en un error muy tonto: copiar incorrectamente la dirección de la billetera.

El envenenamiento de direcciones no explota vulnerabilidades del blockchain, sino que ataca directamente los hábitos humanos. El atacante crea una dirección con una cadena de caracteres que se asemeja mucho a la verdadera del víctima. Luego, envía pequeñas transacciones a esa dirección. Estas transacciones hacen que la dirección falsa aparezca en el historial de transacciones de la víctima. El problema surge cuando el usuario necesita enviar dinero en la siguiente operación. En lugar de pegar la dirección desde una fuente confiable, muchas personas copian rápidamente desde el historial de transacciones, donde la dirección falsa ya está preinstalada. Solo un error puede hacer que todos los fondos se transfieran directamente a la billetera del hacker. En el caso de Sillytuna, ese error costó 24 millones de USD. El análisis en la cadena muestra que los hackers no han apresurado en lavar el dinero. Aproximadamente 20 millones de USD en DAI todavía permanecen en dos billeteras intermedias controladas por los atacantes. La falta de transferencia a mezcladores o servicios de anonimización indica que los hackers podrían estar fragmentando los fondos antes de dispersarlos en varias cadenas. Una pequeña parte de los activos ya ha sido transferida a la capa-2 Arbitrum, una acción común antes de dispersar los fondos a través de protocolos DeFi, DEX o puentes cross-chain para ocultar las huellas. La víctima ha ofrecido una recompensa del 10% del monto recuperado a cualquier persona o plataforma que ayude a rastrear y recuperar los fondos. Incluso, esta oferta se extiende a quienes participaron en el incidente, siempre que colaboren en devolver el dinero robado.

En los últimos años, los ataques de envenenamiento de direcciones han aumentado considerablemente, debido a que tienen tres características que los hackers prefieren: costos muy bajos (solo enviar unos pocos transacciones dust), difícil detección (las direcciones falsas parecen muy similares a las reales) y alta tasa de éxito, especialmente con usuarios que transaccionan con frecuencia. Incluso traders experimentados pueden caer en estas trampas, como en este caso. A finales del año pasado, también se reportó un incidente similar que causó conmoción. Un usuario perdió casi 50 millones de USDT tras transferir accidentalmente fondos a la dirección de un estafador. Los analistas consideran que fue uno de los mayores fraudes on-chain registrados. Debido a la imprevisibilidad de estos hackeos, los expertos en seguridad recomiendan a los usuarios nunca copiar direcciones desde el historial de transacciones, verificar toda la dirección en su totalidad (no solo los primeros y últimos caracteres), usar listas blancas (whitelist) para transferencias grandes, y revisar cuidadosamente las transacciones en una billetera hardware o asegurarse de que todos los parámetros sean correctos antes de confirmar la operación.