El atacante que envenenó direcciones y que supuestamente engañó a un usuario para que le enviara $68 millones en Wrapped Bitcoin (WBTC) ha enviado $153,000 en Ether (ETH) a la víctima en aparente muestra de buena fe. En la misma transacción, el atacante envió un mensaje aceptando negociar y solicitando a la víctima un nombre de usuario de Telegram donde poder contactarlo. La cantidad devuelta representa sólo el 0,225% del total de los fondos presuntamente robados.

Los datos de Blockchain muestran que el 5 de mayo, la víctima del ataque, cuya cuenta termina en 8fD5, envió tres mensajes a una cuenta que termina en dA6D. El destinatario del mensaje había recibido fondos de la cuenta atacante, denominada "FakePhishing327990" en Etherscan, a través de varias cuentas intermedias. Esto implica que es probable que el atacante haya controlado dA6D.

Los mensajes implicaban que la víctima estaba dispuesta a darle al atacante el 10% de los fondos como recompensa y abstenerse de procesarlo si le devolvía el otro 90%. La víctima afirmó:

“Ambos sabemos que no hay manera de limpiar estos fondos. Serás rastreado. También ambos entendemos que la frase "dormir bien" no se refiere a tus cualidades morales y éticas. Sin embargo, administramos oficialmente su derecho al 10%. Devuelve el 90%. Tienes 24 horas antes de las 10 a. m. UTC del 6 de mayo de 2024 para tomar una decisión que cambiará tu vida, en cualquier caso”.

A las 11:37 am UTC del 9 de mayo, otra cuenta que terminaba en 72F1 respondió enviando 51 Ether (ETH) (con un valor de $153,000 al precio actual) a la víctima. 72F1 también había recibido fondos de FakePhishing327990 a través de varias cuentas intermedias, lo que indica que también estaba bajo el control del atacante.

En la transacción que envió los 51 ETH, el atacante también publicó un mensaje que decía "Por favor, deje su telegrama y me pondré en contacto con usted". Luego intentaron corregir su mala puntuación a las 11:43 a. m. y publicaron un mensaje adicional que decía: "Por favor, deje su telegrama y me comunicaré con usted [.]".

En respuesta, la víctima publicó un nombre de usuario de Telegram donde se le puede contactar.

La víctima del envenenamiento de direcciones negocia con el atacante. Fuente: Etherscan.

La negociación se produjo después de que el atacante supuestamente engañó a la víctima para que enviara por error 1.155 Bitcoin envueltos (WBTC) (con un valor de 68 millones de dólares en ese momento) a su cuenta, lo que hicieron mediante una transacción de "intoxicación de direcciones".

Los datos de Blockchain muestran que a las 09:17 am del 3 de mayo, el atacante utilizó un contrato inteligente para transferir 0,05 tokens de la cuenta de la víctima a la cuenta del atacante. El token transferido no tenía ningún nombre en Etherscan y simplemente se lo denominaba "ERC-20". En circunstancias normales, un atacante no puede transferir un token de otro usuario sin su consentimiento. Pero en este caso, el token tenía un diseño personalizado que permitía transferirlo desde una cuenta sin el consentimiento del usuario.

A las 10:31 am del mismo día, la víctima envió 1.155 WBTC a esta dirección, aparentemente por error. La dirección puede haber parecido similar a una dirección utilizada por la víctima para depositar fondos en un intercambio centralizado o por algún otro motivo.

Además, es posible que la víctima haya visto que envió 0,05 tokens a esta dirección en el pasado y, por lo tanto, asumió que era seguro. Sin embargo, los tokens de 0,05 fueron enviados por el atacante y solo parecían provenir de la víctima.

Cuando un atacante intenta confundir a las víctimas enviándoles spam con transacciones que parecen provenir de ellos, pero que en realidad provienen del atacante, los expertos en seguridad lo llaman un "ataque de envenenamiento de direcciones". Los expertos recomiendan que los usuarios inspeccionen cuidadosamente la dirección de envío en una transacción antes de confirmarla, para evitar costosos errores de este tipo de ataques.

Relacionado: Cómo evitar ataques de envenenamiento de direcciones de transferencia de valor cero