Wang Chun también fue víctima: Una "matrícula" astronómica de 50 millones de USD. ¿Por qué el envenenamiento de direcciones es tan exitoso?

Título del Artículo Original: "50 Millones de USD Robados Debido a Fallo en la Verificación de Dirección"

Autor del Artículo Original: Eric, Foresight News

Ayer por la mañana, hora de Pekín, un analista de blockchain llamado Specter descubrió un caso en el que casi 50 millones de USDT fueron transferidos a la dirección de un hacker debido a la falta de una verificación cuidadosa de la dirección.

Según la investigación realizada por el autor, la dirección (0xcB80784ef74C98A89b6Ab8D96ebE890859600819) retiró 50 USDT de Binance para una prueba de retiro a gran escala alrededor de las 13:00 del día 19, hora de Pekín.

Aproximadamente 10 horas después, la dirección retiró 49.999.950 USDT en una sola transacción de Binance, sumándose a los 50 USDT anteriores, totalizando exactamente 50 millones.

Cerca de 20 minutos después, la dirección que recibió los 50 millones de USDT transfirió primero 50 USDT a la dirección 0xbaf4…95F8b5 para fines de prueba.

Menos de 15 minutos después de la transacción de prueba, la dirección del hacker 0xbaff…08f8b5 transfirió 0,005 USDT a la dirección que mantenía los restantes 49.999.950 USDT. La dirección del hacker utilizada para la transferencia tenía un inicio y un final muy similares a los de la dirección que recibió los 50 USDT, lo que indica un claro ataque de "envenenamiento de direcciones".

10 minutos después, cuando la dirección que comenzaba por 0xcB80 intentó transferir los restantes 40+ millones de USDT, posiblemente debido a negligencia, copió erróneamente la transacción anterior, es decir, la dirección utilizada por el hacker para el "envenenamiento", y envió directamente casi 50 millones de USDT al hacker.

Tras recibir los 50 millones de USD, el hacker inició actividades de lavado de dinero solo 30 minutos después. Según el monitoreo de SlowMist, el hacker convirtió primero el USDT a DAI a través de MetaMask, luego usó todo el DAI para comprar aproximadamente 16.690 Ethereum, manteniendo 10 ETH y transfiriendo el resto de Ethereum a Tornado Cash.

Ayer, alrededor de las 16:00 (hora de Pekín), la víctima apeló al hacker on-chain, declarando que se habían presentado cargos penales oficialmente. Con la asistencia de agencias de aplicación de la ley, organizaciones de ciberseguridad y varios protocolos de blockchain, se recopiló una cantidad significativa de información creíble sobre las actividades del hacker. La víctima declaró que el hacker podría quedarse con 1 millón de USD y devolver el 98% restante de los fondos. Si el hacker cumple, no se tomarán más medidas; sin embargo, si el hacker no coopera, será perseguido a través de canales legales por responsabilidad penal y civil, y la identidad del hacker será divulgada públicamente. Hasta el momento, el hacker no ha realizado ningún movimiento.

Según datos compilados por la plataforma Arkham, esta dirección tiene registros de grandes transferencias con direcciones de Binance, Kraken, Coinhako y Cobo. Aunque Binance, Kraken y Cobo son bien conocidas, Coinhako puede ser un nombre relativamente desconocido. Coinhako es una exchange de criptomonedas local de Singapur establecida en 2014. En 2022, obtuvo una licencia de Institución de Pago Principal de la Autoridad Monetaria de Singapur, convirtiéndose en una exchange regulada en Singapur.

Dado que esta dirección interactuó con varias exchanges y servicios de custodia Cobo y demostró la capacidad de contactar rápidamente a varias partes para rastrear al hacker en las 24 horas posteriores al incidente, el autor especula que esta dirección probablemente pertenece a una organización y no a un individuo.

De un "Oops" a un Error Costoso

La única explicación para un ataque de "envenenamiento de direcciones" exitoso es la "negligencia". Tales ataques pueden evitarse fácilmente verificando la dirección antes de una transacción, pero, evidentemente, la figura central en este incidente omitió este paso crucial.

Los ataques de envenenamiento de direcciones surgieron en 2022, con la historia originándose de un generador de "direcciones personalizadas", una herramienta que permite la personalización del prefijo de la dirección EVM. Por ejemplo, el autor podría generar una dirección que comenzara por 0xeric para hacerla más reconocible.

El hacker descubrió más tarde que, debido a un fallo de diseño, esta herramienta podía forzar claves privadas, lo que llevó a varios incidentes graves de robo de fondos. Sin embargo, la capacidad de generar direcciones con prefijos y sufijos personalizados también despertó una idea siniestra: al crear direcciones similares al inicio y al final de la dirección de transferencia común de un usuario y transferir fondos a otra dirección utilizada por el usuario, algunos individuos pueden enviar erróneamente sus activos on-chain a la dirección del hacker, asumiendo que es la suya propia debido a la negligencia.

Los datos on-chain históricos muestran que la dirección que comenzaba por 0xcB80 fue uno de los principales objetivos para el envenenamiento de direcciones por parte del hacker antes de este ataque, con el ataque de envenenamiento de direcciones comenzando hace casi 1 año. Este método de ataque se basa fundamentalmente en la apuesta del hacker de que un día caerás en el truco debido a la pereza o desatención. Irónicamente, este método de ataque flagrantemente obvio ha llevado a que cada vez más individuos "negligentes" se conviertan en víctimas.

En respuesta a este incidente, el cofundador de F2Pool, Wang Chun, expresó su solidaridad con las víctimas. Mencionó que, el año pasado, para probar si su dirección había sufrido una fuga de clave privada, envió 500 Bitcoins a la misma, solo para que 490 Bitcoins fueran robados por hackers. Aunque la experiencia de Wang Chun no está directamente relacionada con ataques de envenenamiento de direcciones, probablemente quiso transmitir que todos tenemos momentos de descuido y no se debe culpar a las víctimas por su negligencia, sino señalar a los hackers.

Una pérdida de 50 millones de USD no es una cantidad pequeña, pero no es el monto más alto robado en tales ataques. En mayo de 2024, una dirección fue víctima de un ataque similar donde más de 70 millones de USD en Bitcoin (WBTC) envuelto fueron enviados a la dirección de un hacker. Sin embargo, la víctima finalmente recuperó casi todos los fondos a través de negociación on-chain con la asistencia de empresas de seguridad Match Systems y la plataforma de trading Cryptex. En este incidente reciente, el hacker convirtió rápidamente los fondos robados a Ethereum y los transfirió a Tornado Cash, haciendo que la posibilidad de recuperación sea incierta.

El cofundador de Casa y Director de Seguridad, Jameson Lopp, advirtió en abril que los ataques de envenenamiento de direcciones se estaban extendiendo rápidamente, con más de 48.000 incidentes de este tipo ocurriendo solo en la red Bitcoin desde 2023.

Estos métodos de ataque, incluyendo enlaces falsos a reuniones de Zoom en Telegram, no son sofisticados, pero es precisamente este enfoque "simple" el que puede atrapar a las personas desprevenidas. Para aquellos de nosotros en el bosque oscuro, siempre es mejor ser extremadamente cauteloso.

Enlace del Artículo Original