Cómo un criptotraductor perdió 50 millones a través del truco más simple

La historia ocurrida el 20 de diciembre muestra cuán vulnerable puede ser incluso un trader de criptomonedas experimentado ante un simple error humano. Un conocido trader perdió casi 50 millones de dólares en USDT en una sola transacción, convirtiéndose en víctima de un ataque bien planificado que no requirió software sofisticado ni vulnerabilidades cero. En lugar de eso, el atacante aprovechó lo que los traders hacen a diario: copiar direcciones del historial de transacciones.

Mecanismo de envenenamiento de direcciones: cuando la interfaz se vuelve en contra

El ataque comienza con una observación sencilla. Un explorador on-chain, Specter, analizó el caso y contó los detalles: la víctima inicialmente realizó una operación de prueba de 50 USDT a su dirección legítima. Era una práctica estándar antes de hacer una transferencia grande. Pero ese pequeño movimiento fue una señal para el atacante.

El estafador generó inmediatamente una dirección falsa personalizada, que coincidía con los primeros cuatro y los últimos cuatro caracteres de la original. A simple vista, las direcciones parecían iguales — y no fue casualidad. La mayoría de las carteras y exploradores blockchain muestran las direcciones de forma abreviada: 0xBAF4…F8B5. Los tres puntos en medio ocultan la mayor parte de los caracteres, por lo que la dirección falsificada parecía una copia.

Cómo el atacante “disfrazó” la dirección falsa

El siguiente paso fue especialmente astuto. El atacante envió una pequeña cantidad de criptomonedas desde esa dirección falsa al víctima — una práctica conocida como “envenenamiento” del historial de transacciones. Ahora, la dirección falsa apareció en la sección de últimas operaciones de la víctima, junto a la dirección legítima.

Cuando el trader decidió transferir la suma principal de 49,999,950 USDT, usó la costumbre que siguen millones de usuarios: simplemente copió la dirección desde el menú “Últimas operaciones” sin verificar. No se dio cuenta de que había copiado la dirección equivocada. La interfaz lo atrapó.

De USDT a Tornado Cash: el camino de los activos robados

Luego, todo se desarrolló rápidamente. En 30 minutos tras el envenenamiento, comenzó una cadena de conversiones: casi 50 millones de USDT se cambiaron por el stablecoin DAI, y luego se convirtieron en aproximadamente 16,690 ETH. Al final, los activos fueron enviados a través de Tornado Cash — un servicio de mezclado de fondos que dificulta rastrear el origen de las criptomonedas.

Al darse cuenta de la catástrofe, la víctima desesperada intentó la última línea de defensa: envió un mensaje on-chain al atacante ofreciendo una recompensa “blanca” de 1 millón de dólares por devolver el 98% de los fondos. Era un intento de negociar, pero hasta el 21 de diciembre, esta estrategia no funcionó. Los activos permanecieron en poder del estafador.

Comentarios de expertos: cómo pudo haber ocurrido

Specter expresó profunda tristeza por el caso, señalando que el trader perdió fondos “por una causa que menos podría haber llevado a una pérdida tan grande”. En conversación con otro investigador, ZachXBT, enfatizó: “Se perdió una suma enorme por un simple error. Todo esto se podría haber evitado en unos segundos si la dirección se hubiera copiado desde una fuente correcta, no del historial de operaciones.”

Esto refleja una ironía profunda: la habilidad que ahorra tiempo — copiar desde las últimas operaciones — resultó ser el mayor riesgo.

Cómo protegerse como trader: cómo no caer en la misma trampa

Expertos en seguridad advierten que, con el aumento del valor de las criptomonedas, estos ataques de baja tecnología pero alta rentabilidad se vuelven cada vez más comunes. Recomiendan a los traders seguir algunas reglas simples pero críticas:

1. Siempre obtener la dirección desde la pestaña “Recibir”
No copiar del historial de transacciones. Este método es la mayor trampa. La pestaña “Recibir” garantiza la autenticidad de la dirección.

2. Añadir direcciones confiables a la lista blanca
La mayoría de las carteras de calidad permiten crear una lista blanca de direcciones para operaciones recurrentes. Esto ayuda a evitar errores manuales.

3. Usar carteras hardware con verificación
Algunos dispositivos requieren confirmación física de toda la dirección antes de enviar. Esto proporciona una segunda capa de verificación, imprescindible.

4. Verificar la dirección completa, no solo la versión abreviada
No confiar solo en los primeros y últimos caracteres. Abrir la dirección en su totalidad y verificar varios caracteres en medio.

5. Realizar operaciones de prueba con cantidades pequeñas
Como hizo la víctima con 50 USDT, pero asegurándose de que la dirección de prueba sea legítima antes de transferir la suma principal.

La historia de este trader es un recordatorio severo: en el mundo de los activos digitales, donde un error puede costar millones, la línea de defensa más importante no es la tecnología, sino la cautela humana.