$50M USDT Perdido en estafa de envenenamiento de direcciones en la cadena

Fuente: CryptoTale Título original: $50M USDT Perdidos en una estafa de envenenamiento de direcciones en cadena Enlace original: https://cryptotale.org/50m-usdt-lost-in-address-poisoning-on-chain-scam/

• Se perdió un $50M USDT después de que un usuario copiara una dirección de cartera envenenada del historial de transacciones.
• La estafa se basó en transferencias de polvo y direcciones similares, no en una explotación de protocolo.
• Charles Hoskinson afirmó que los modelos de blockchain basados en cuentas permiten riesgos de envenenamiento de direcciones.

Un usuario de criptomonedas que cayó en una estafa de envenenamiento de direcciones ha perdido casi $50 millón en USDT. La explotación ocurrió a través de una serie de transacciones en cadena y fue descubierta finalmente por una empresa de seguridad en blockchain. El caso destaca por la magnitud de la pérdida y la ausencia de ninguna brecha en el protocolo o explotación de contratos inteligentes involucrados.

El robo fue detectado por primera vez por Web3 Antivirus, que alertó sobre un comportamiento anormal en las transacciones. Según datos en cadena, la víctima envió accidentalmente $49,999,950 USDT a una cartera de un hacker. El pago fue precedido por una pequeña prueba para confirmar la dirección de destino. La última transacción fue enviada a otra cartera.

Hoskinson compara cadenas basadas en cuentas con sistemas UTXO

El incidente provocó comentarios de Charles Hoskinson. Él afirmó que tales pérdidas están estrechamente relacionadas con los modelos de blockchain basados en cuentas. Estos sistemas dependen de direcciones persistentes y historiales de transacciones visibles. Esa estructura permite a los atacantes manipular lo que los usuarios ven al copiar direcciones.

Hoskinson contrastó esto con las blockchains basadas en UTXO, como Bitcoin y Cardano. En esos sistemas, las transacciones consumen y crean salidas discretas. Las carteras construyen pagos a partir de salidas específicas en lugar de reutilizar puntos finales de cuentas. No existe un historial de direcciones persistentes para envenenar en la misma forma.

La cartera de la víctima había estado activa durante aproximadamente dos años y se usaba principalmente para transferencias de USDT. Poco después de que se retiraron fondos de un intercambio importante, la cartera recibió cerca de $50 millón. El usuario envió una transacción de prueba a la destinataria prevista. Minutos después, el saldo restante fue transferido usando una dirección incorrecta.

Los investigadores dicen que el estafador anticipó este comportamiento. Después de la transferencia de prueba, el atacante generó una nueva dirección de cartera diseñada para parecerse mucho a la legítima. Los primeros y últimos caracteres eran iguales. Dado que muchas carteras acortan las direcciones en los historiales de transacciones, la dirección fraudulenta parecía visualmente similar a la real.

Cómo el envenenamiento de direcciones usó transferencias de polvo para robar $50

Para reforzar el engaño, el atacante envió una pequeña transacción de polvo a la cartera de la víctima. Esta acción insertó la dirección falsa en el historial de transacciones. Cuando el usuario copió posteriormente la dirección de actividades previas, se seleccionó la entrada envenenada. Los fondos fueron transferidos directamente a la cartera del atacante sin mayor verificación.

Las estafas de envenenamiento de direcciones operan a gran escala. Los bots automatizados distribuyen transacciones de polvo a carteras con grandes saldos. El objetivo es explotar los hábitos rutinarios de copiar y pegar durante futuras transferencias. La mayoría de los intentos no tienen éxito. Sin embargo, un error puede conducir a una pérdida sustancial, como se demuestra en este caso.

Los registros en cadena muestran que el USDT robado fue rápidamente intercambiado por Ether en la red Ethereum. Los activos luego se movieron a través de una serie de carteras intermediarias. Varias de estas direcciones interactuaron posteriormente con Tornado Cash. El mezclador se usa comúnmente para oscurecer las trazas de las transacciones.

El movimiento de fondos sugiere un esfuerzo por complicar el rastreo en lugar de una liquidación inmediata. No se ha confirmado ninguna recuperación de los activos. El atacante no ha respondido públicamente. La monitorización de las direcciones relacionadas continúa mediante análisis en cadena.

Después del incidente, la víctima escribió una nota en cadena al atacante. El mensaje exigía que el 98% de los fondos robados fueran devueltos en 48 horas. Se comprometió a devolver $50M millón como recompensa de sombrero blanco si los activos eran devueltos en su totalidad. La comunicación también amenazó con escalada legal y cargos criminales.

Los analistas de seguridad enfatizan que esto no fue un fallo de protocolo. No se bypassaron salvaguardas criptográficas. La pérdida resultó del diseño de la interfaz combinado con hábitos comunes de los usuarios. Las estafas de envenenamiento de direcciones explotan coincidencias parciales de direcciones y la dependencia del historial de transacciones. En menos de una hora, esos factores llevaron a una pérdida de $1 millón.