Título original: «Robo de 50 millones de dólares por no verificar cuidadosamente la dirección»
Autor original: Eric, Foresight News
En la madrugada de ayer, hora de Pekín, el analista on-chain conocido como Specter en X descubrió un caso en el que casi 50 millones de USDT fueron transferidos a una dirección de hackers por no revisar cuidadosamente la dirección de destino.
Según la investigación del autor, esta dirección (0xcB80784ef74C98A89b6Ab8D96ebE890859600819) retiró 50 USDT de Binance alrededor de las 13:00 (hora de Pekín) del día 19 para realizar una prueba antes de una retirada de gran volumen.
Aproximadamente 10 horas después, la dirección retiró de una sola vez 49 999 950 USDT de Binance. Sumados a los 50 USDT retirados previamente, el total es exactamente 50 millones.
Unos 20 minutos más tarde, la dirección que recibió los 50 millones de USDT transfirió primero 50 USDT a 0xbaf4…95F8b5 para realizar una prueba.
En menos de 15 minutos después de completarse la transferencia de prueba, la dirección del hacker 0xbaff…08f8b5 envió 0,005 USDT a la dirección que aún contenía 49 999 950 USDT. La dirección utilizada por el hacker era muy similar en su inicio y final a la que recibió los 50 USDT, lo que constituye un claro ataque de «envenenamiento de dirección».
10 minutos después, cuando la dirección que comienza con 0xcB80 intentó transferir los más de 40 millones de USDT restantes, probablemente por descuido copió la dirección de la transacción anterior, es decir, la dirección utilizada por el hacker para el «envenenamiento», enviando directamente casi 50 millones de USDT a manos del hacker.
Al ver los 50 millones de dólares en su poder, el hacker comenzó a lavar el dinero 30 minutos después. Según el monitoreo de SlowMist, el hacker primero intercambió los USDT por DAI a través de MetaMask, luego utilizó todos los DAI para comprar aproximadamente 16 690 ETH, dejó 10 ETH y transfirió el resto de los ETH a Tornado Cash.
Alrededor de las 16:00 (hora de Pekín) de ayer, la víctima se dirigió al hacker en la cadena, afirmando que ya había presentado una denuncia penal formal y que, con la ayuda de las autoridades policiales, agencias de ciberseguridad y múltiples protocolos blockchain, había recopilado una gran cantidad de información confiable sobre las actividades del hacker. El propietario de los fondos declaró que el hacker podía quedarse con 1 millón de dólares y devolver el 98 % restante. Si el hacker cumplía, no se tomarían más acciones; de lo contrario, se procedería legalmente contra el hacker por responsabilidad penal y civil, y se haría pública su identidad. Sin embargo, hasta el momento, el hacker no ha dado señales de respuesta.
Según los datos recopilados por la plataforma Arkham, esta dirección tiene registros de transferencias de gran volumen con direcciones de Binance, Kraken, Coinhako y Cobo. Binance, Kraken y Cobo no necesitan presentación, mientras que Coinhako puede ser un nombre relativamente desconocido. Coinhako es una plataforma de intercambio de criptomonedas local de Singapur fundada en 2014, que obtuvo en 2022 una licencia de institución de pagos importante de la Autoridad Monetaria de Singapur, lo que la convierte en una plataforma regulada en el país.
Dado que esta dirección utiliza múltiples plataformas de intercambio y el servicio de custodia de Cobo, así como su capacidad para contactar rápidamente a las partes involucradas y completar el rastreo del hacker en menos de 24 horas desde el incidente, el autor supone que es muy probable que la dirección pertenezca a una institución y no a un individuo.
Un «descuido» que provoca un gran error
La única explicación para el éxito de un ataque de «envenenamiento de dirección» es la «negligencia». Este tipo de ataques pueden evitarse simplemente verificando la dirección nuevamente antes de realizar la transferencia, pero claramente, el protagonista de este incidente omitió este paso crucial.
Los ataques de envenenamiento de dirección comenzaron a aparecer en 2022, y su origen se remonta a los generadores de «direcciones bonitas», es decir, herramientas que permiten personalizar el inicio de una dirección EVM. Por ejemplo, el autor mismo podría generar una dirección que comience con 0xeric para etiquetarla más fácilmente.
Posteriormente, los hackers descubrieron que esta herramienta, debido a un problema de diseño, permitía descifrar por fuerza bruta las claves privadas, lo que condujo a varios robos importantes de fondos. Sin embargo, la capacidad de generar direcciones con inicio y final personalizados también dio a algunas personas malintencionadas una «idea astuta»: generar direcciones similares en inicio y final a las direcciones que los usuarios utilizan comúnmente para transferencias, y luego transferir pequeñas cantidades a otras direcciones frecuentes del usuario. De esta manera, algunos usuarios, por descuido, podrían confundir la dirección del hacker con la suya propia y enviar activos on-chain directamente al bolsillo del hacker.
La información on-chain pasada muestra que la dirección que comienza con 0xcB80 ya era uno de los objetivos importantes de envenenamiento por parte de hackers antes de este ataque, y los ataques de envenenamiento de dirección contra ella comenzaron hace casi un año. Este método de ataque consiste esencialmente en que el hacker apuesta a que, algún día, el usuario se cansará o no prestará atención y caerá en la trampa. Precisamente este tipo de ataque, que parece obvio a simple vista, hace que los «despistados» se conviertan, uno tras otro, en víctimas.
Con respecto a este incidente, el cofundador de F2Pool, Wang Chun, publicó un tuit expresando su simpatía por la víctima y mencionó que el año pasado, para probar si su dirección había sufrido una filtración de clave privada, transfirió 500 BTC a ella, y luego 490 BTC fueron robados por hackers. Aunque la experiencia de Wang Chun no está relacionada con un ataque de envenenamiento de dirección, probablemente quería expresar que todos tenemos momentos de «tontería», y no se debe culpar a la víctima por su descuido, sino dirigir las críticas hacia el hacker.
50 millones de dólares no es una cantidad pequeña, pero no es la mayor pérdida en este tipo de ataques. En mayo de 2024, una dirección transfirió WBTC por valor de más de 70 millones de dólares a una dirección de hacker debido a este tipo de ataque, pero la víctima finalmente recuperó casi todos los fondos mediante negociación on-chain con la ayuda de la empresa de seguridad Match Systems y la plataforma de intercambio Cryptex. Sin embargo, en este incidente, el hacker ya ha intercambiado rápidamente los fondos robados por ETH y los ha transferido a Tornado Cash, por lo que aún se desconoce si finalmente podrán recuperarse.
En abril, Jameson Lopp, cofundador y director de seguridad de Casa, advirtió que los ataques de envenenamiento de dirección se están propagando rápidamente, con hasta 48 000 incidentes de este tipo solo en la red de Bitcoin desde 2023.
Desde enlaces falsos de reuniones de Zoom en Telegram, estos métodos de ataque no son particularmente sofisticados, pero precisamente esta «sencillez» puede hacer que las personas bajen la guardia. Para quienes estamos en el bosque oscuro, nunca está de más mantener un ojo extra alerta.
