Un tenedor de criptomonedas sin nombre perdió recientemente más de $3 millones en tokens PYTH después de transferirlos erróneamente a la billetera de un estafador.
El error ocurrió cuando la víctima, confiando en su historial de transacciones, copió y usó una dirección de depósito falsa.
El alto costo de un pequeño error
Según una publicación del 25 de noviembre de los analistas de blockchain Lookonchain, un fraude desconocido creó una dirección cuyos primeros cuatro caracteres coincidían exactamente con la billetera de depósito de la víctima. Luego enviaron a la víctima 0.000001 SOL, que valía alrededor de $0.00025, lo que hizo que la cuenta falsa apareciera en su historial de transacciones.
Sin tomar las debidas precauciones, la persona afectada copió la dirección falsificada directamente del historial de transacciones, ya que los primeros cuatro caracteres coincidían. Luego enviaron 7 millones de tokens PYTH valorados en aproximadamente $3.08 millones al criminal sin verificar el identificador único.
Los expertos en seguridad se refieren a estos ataques como “envenenamiento de direcciones”. Explotan un hábito común entre los usuarios de criptomonedas: confiar en los historiales de transacciones para copiar los identificadores únicos de billetera en lugar de recuperarlos de fuentes oficiales o contactos de confianza. Aunque puede parecer conveniente, la práctica a menudo es arriesgada.
La plataforma antiestafas Scam Sniffer destacó recientemente otro caso donde un usuario supuestamente perdió $129 millones después de copiar la dirección incorrecta de su historial de transferencias. En ese caso, la cuenta engañosa tenía los mismos últimos seis caracteres que la correcta.
En muchas billeteras, solo se muestran generalmente los primeros seis y últimos seis caracteres de una dirección, lo que significa que puede ser necesario un examen más detallado para confirmar su veracidad. Afortunadamente para esa persona o entidad, el estafador devolvió los fondos robados dentro de una hora.
En mayo, un usuario de Ethereum perdió 1,155 Bitcoin envueltos (wBTC) por un valor de $68 millones, mientras que varios propietarios de Safe Wallet tuvieron $2 millones robados usando el mismo truco en diciembre del año pasado.
Entendiendo el envenenamiento de direcciones
Los actores maliciosos comúnmente utilizan dos métodos para ejecutar el envenenamiento de direcciones: transferencias de valor cero y tokens falsos. En las transferencias de valor cero, el estafador utiliza contratos de tokens reales pero realiza transacciones de muy bajo valor para mostrar una actividad engañosa en el historial de transacciones en cadena de una posible víctima.
Por otro lado, el método de token falso implica crear contratos de tokens falsos para imitar tokens reales como USDT o USDC. Los estafadores luego buscan transacciones genuinas de tokens, y cuando ven una, transfieren sus tokens falsos a la dirección de la cual se originó la transacción. Esto le da al usuario la impresión de que enviaron fondos a una cierta cuenta cuando, de hecho, no lo hicieron.
El usuario puede confundir la transferencia de un token falso con la real que realizó al mirar el historial de su billetera o usar un explorador de blockchain. Al querer repetir una transacción, puede enviar dinero a la billetera del estafador al copiar y pegar involuntariamente la dirección falsa.
La publicación 'Transferencia descuidada de criptomonedas cuesta al inversor $3.08M: detalles' apareció primero en CryptoPotato.
