Hacker robó USD $69 millones a desafortunada víctima a través de una “dirección envenenada”

Según indican los reportes, la víctima iba a transferir unos USD $69 millones en fondos WBTC, pero sin darse cuenta utilizó una dirección envenenada, la cual tenía cambios en varios caracteres en relación a la que originalmente iba a enviar los fondos.

***

Cuando se trata de enviar criptos, toda suspicacia es válida
Una persona perdió USD $69 millones tras enviar fondos a una dirección falsa
El atacante utilizó una dirección envenenada, es decir, otra dirección clónica con ligeros cambios respecto a la original
El hecho pone en evidencia la importancia de verificar apropiadamente las direcciones empleadas

Quien opera con criptomonedas sabe lo delicado que puede ser errar un carácter a la hora de transferir activos, lo cual podría derivar la pérdida total de los fondos enviados dado que las operaciones son irreversibles. Esto también lo saben los malos actores, por lo que hay una modalidad de ataque en la que aprovechan esto a favor para intentar hacerse con el capital de las víctimas que no revisan las direcciones antes de proceder.

La desafortunada víctima que perdió USD $68 millones

De esto último fue víctima un desafortunado usuario, quien perdió el estimado de USD $69 millones en fondos Wrapped Bitcoin (WBTC) tras ser víctima de esta modalidad de estafa, mejor conocida como “envenenamiento de direcciones”.

De acuerdo con datos aportados por la firma de ciberseguridad CertiK, reseñados por el medio CoinDesk, la víctima fue víctima de esta modalidad de exploit, ya que los responsables de la estafa intercambiaron la dirección a la que el desafortunado afectado iba a hacer el envío correspondiente, ya que no verificó que todos los caracteres de la billetera fuesen correctos.

#CertiKInsight

Our system has detected a transfer of 1,155 WBTC (~$69.3m) to an address linked to address poisoning

EOA 0xd9A1 mimicked a transfer of 0.05 ETH which led the victim to send the funds to the wrong address

Stolen funds are here https://t.co/m2xpJW0QIZ pic.twitter.com/PWFhEsEN2G

— CertiK Alert (@CertiKAlert) May 3, 2024

Dado que una dirección cripto puede tener hasta 42 caracteres, generalmente las personas suelen verificar los 6 primeros y los 6 últimos elementos para ver si se trata de la secuencia correcta. Acá los atacantes mantuvieron dichos elementos iguales, pero los cambios se hicieron en el centro del código facilitado.

Según detalló la firma, el atacante tuvo acceso a una transacción previa hecha por 0,05 ETH, y empleó software sofisticado para generar una dirección clónica que mantuviese algunos elementos pero redirigiese los fondos a una billetera bajo su control. Tras intercambiar las direcciones, terminó recibiendo unos 1.155 WBTC que muy probablemente la víctima no recuperará.

Una lección dolorosa

Desafortunadamente, este tipo de hechos ponen en evidencia lo importante que es implementar medidas de seguridad apropiadas para mantener a buen resguardo las criptomonedas, en especial a la luz del gran interés por parte de hackers y malos actores quienes reconocen el valor de dichos activos.

Reportes recientes revelan que entre enero y marzo de este año, hubo pérdidas superiores a los USD $500 millones a través de exploits. Aunque esto normalmente refiere a robos dirigidos a grandes plataformas, los usuarios individuales también suelen ser víctimas de estafas y hackeos que derivan en la pérdida de todos los fondos.

En el caso de las direcciones envenenadas, lo recomendable es tomar el tiempo para verificar apropiadamente la secuencia perteneciente a la billetera destino, y constatar que esta no tenga ningún tipo de variante más allá de los primeros y últimos caracteres.

Otro aspecto importante es garantizar la sanidad del equipo en el que se almacenan y transfieren fondos. Muchas veces estos cambios pueden hacerse con malware alojado en el computador/dispositivo de la víctima, el cual permite al atacante modificar automáticamente ciertos elementos que no suelen revisarse.

Artículo de Angel Di Matteo / DiarioBitcoin

Imagen de Unsplash

DiarioBitcoin