Un usuario de criptomonedas perdió $50 millones en USDT tras caer en una estafa de envenenamiento de dirección en una explotación masiva en cadena.
El robo, detectado por la firma de seguridad Web3 Web3 Antivirus, ocurrió después de que el usuario enviara una transacción de prueba de $50 para confirmar la dirección de destino antes de transferir el resto de los fondos.
Cargando…
En cuestión de minutos, un estafador creó una dirección de billetera que se parecía mucho al destino, coincidiendo con los primeros y últimos caracteres, sabiendo que la mayoría de las billeteras abrevian las direcciones y solo muestran prefijos y sufijos.
El estafador luego envió a la víctima una pequeña cantidad "dust" para envenenar su historial de transacciones. Aparentemente creyendo que la dirección de destino era legítima y estaba ingresada correctamente, la víctima copió la dirección de su historial de transacciones y terminó enviando $49,999,950 USDT a la dirección del estafador.
Estas pequeñas transacciones dust a menudo se envían a direcciones con grandes tenencias, envenenando los historiales de transacciones en un intento de atrapar a los usuarios en errores de copiar y pegar, como este. Los bots que realizan estas transacciones lanzan una red amplia, esperando el éxito, que lograron en este caso.
Los datos de blockchain muestran que los fondos robados fueron luego intercambiados por ether ETH$2,978.33 y movidos a través de múltiples billeteras. Varias direcciones involucradas han interactuado desde entonces con Tornado Cash, un mezclador de criptomonedas sancionado, en un intento de ofuscar el rastro de la transacción.
En respuesta, la víctima publicó un mensaje en cadena exigiendo la devolución del 98% de los fondos robados en un plazo de 48 horas. El mensaje, respaldado con amenazas legales, ofreció al atacante $1 millón como recompensa white-hat si los activos son devueltos en su totalidad.
El incumplimiento, advierte el mensaje, desencadenará una escalada legal y cargos criminales.
"Esta es tu última oportunidad para resolver este asunto pacíficamente", escribió la víctima en el mensaje. "Si no cumples: escalaremos el asunto a través de canales legales internacionales de aplicación de la ley".
El envenenamiento de dirección no explota vulnerabilidades en el código o la criptografía, sino que aprovecha los hábitos de los usuarios, es decir, la dependencia de la coincidencia parcial de direcciones y copiar y pegar del historial de transacciones.
Fuente: https://www.coindesk.com/web3/2025/12/20/crypto-user-loses-usd50-million-in-address-poisoning-scam
