Trader de Criptomonedas Pierde $50M en USDT por Estafa de Envenenamiento de Dirección

La Mecánica del Envenenamiento de Direcciones

Un comerciante de criptomonedas perdió casi $50 millones en una sola transacción el 20 de diciembre tras ser víctima de un sofisticado ataque de “envenenamiento de direcciones”. El incidente, que vio 49,999,950 USDT transferidos directamente a la billetera de un estafador, destaca una creciente crisis de seguridad donde ladrones de alta tecnología explotan hábitos humanos básicos y limitaciones de la interfaz de usuario.

Según el investigador en cadena Specter, la víctima, al intentar mover fondos de un intercambio a una billetera personal, realizó inicialmente una transacción de prueba de 50 USDT a su dirección legítima. Esto fue detectado por el atacante, quien inmediatamente generó una dirección de vanidad falsa que coincidía con los primeros y últimos cuatro caracteres de la billetera legítima de la víctima.

Leer más: Estafas de Criptomonedas en 2025: Cómo Detectarlas y Protegerse

El atacante luego envió una cantidad insignificante de cripto desde esta dirección falsa a la víctima, efectivamente “envenenando” el historial de transacciones del usuario. En una discusión que siguió en X, Specter lamentó el hecho de que un comerciante perdió fondos debido a “una de las causas menos probables de una pérdida tan masiva”. Respondiendo al investigador ZachXBT, quien expresó su tristeza por la víctima, Specter dijo:

“Esto es exactamente por qué me quedé sin palabras, perder una cantidad tan masiva debido a un simple error. Solo unos segundos para copiar y pegar la dirección desde la fuente correcta en lugar del historial de transacciones podría haber prevenido todo. Navidad arruinada.”

El Fallo de la UI: Elipses y Error Humano

Dado que la mayoría de las billeteras de cripto modernas y los exploradores de bloques truncan largas cadenas alfanuméricas—mostrando direcciones con elipses en el medio (por ejemplo, 0xBAF4…F8B5)—la dirección falsificada parecía idéntica a la de la víctima a simple vista. Por lo tanto, cuando la víctima procedió a transferir los 49,999,950 USDT restantes, siguió una práctica común: copiar la dirección del destinatario de su historial de transacciones reciente en lugar de la fuente.

Dentro de los 30 minutos del ataque de envenenamiento, casi $50 millones en USDT fueron intercambiados por la moneda estable DAI antes de convertirse en aproximadamente 16,690 ETH y canalizados a través de Tornado Cash. Después de darse cuenta de lo sucedido, la desesperada víctima envió un mensaje en cadena al atacante, ofreciendo una recompensa de $1 millón como “white-hat” por la devolución del 98% de los fondos. Hasta el 21 de diciembre, los activos permanecen sin recuperar.

Los expertos en seguridad advierten que a medida que los activos de cripto alcanzan nuevos máximos, estas estafas de “envenenamiento” de baja tecnología pero alto rendimiento son cada vez más frecuentes. Para evitar destinos similares, se insta a los poseedores a siempre obtener una dirección de recepción directamente desde la pestaña “Recibir” de la billetera.

Los usuarios deben incluir en lista blanca direcciones de confianza en su billetera para prevenir errores de entrada manual. También deben considerar usar dispositivos que requieran confirmación física de la dirección de destino completa para proporcionar una segunda capa crítica de escrutinio.

Preguntas Frecuentes 💡

• ¿Qué ocurrió en el ataque del 20 de diciembre? Un comerciante perdió casi $50 millones en USDT debido a una estafa de envenenamiento de direcciones.
• ¿Cómo funcionó la estafa? Los atacantes falsificaron una dirección de billetera que parecía idéntica en forma truncada.
• ¿Dónde se movió el cripto robado? Los fondos fueron lavados a través de DAI, convertidos a ETH, y canalizados vía Tornado Cash.
• ¿Cómo pueden protegerse los comerciantes?
  Siempre copie direcciones desde la pestaña “Recibir” de la billetera y ponga en lista blanca cuentas de confianza.