$50M USDT Perdidos en un Instante : Cómo el Envenenamiento de Direcciones Explotó un Error Simple de Billetera

Con un movimiento en falso que resultó extremadamente costoso, un solo error en el espacio cripto llevó a una de las mayores pérdidas en cadena de 2025. Un usuario envió accidentalmente casi $50 millones en USDT a una dirección fraudulenta, destacando cómo un error simple puede tener consecuencias enormes. La pérdida fue causada por un ataque de envenenamiento de direcciones, una táctica donde los estafadores engañan a los usuarios para que envíen fondos a billeteras maliciosas. En este caso, el incidente muestra cómo la dependencia de la conveniencia al manejar direcciones de billetera puede resultar extremadamente costosa.

Pequeña Transferencia de Prueba Conduce a Pérdida de $50M USDT

El investigador en cadena Web3 Antivirus compartió en X que la víctima perdió 49,999,950 USDT después de copiar inadvertidamente una dirección de billetera fraudulenta de su historial de transacciones. El usuario primero realizó una pequeña transferencia de prueba a lo que creía que era la dirección correcta antes de enviar los $50 millones completos minutos después. Aunque la transferencia inicial parecía inocua, sentó las bases para una pérdida significativa.

EyeOnChain, un analista en cadena, explicó que la estafa aprovechó la transacción inicial de prueba de 50 USDT. El atacante luego creó una billetera casi idéntica a la original, manteniendo los primeros y últimos caracteres iguales mientras se aprovechaba de interfaces de billetera que ocultan la sección del medio con “…”. Cuando la víctima intentó luego enviar los 49,999,950 USDT restantes, copió la dirección del historial de transacciones en lugar de verificarla manualmente. Confiando en los caracteres iniciales y finales familiares, el usuario envió sin saberlo el monto completo a la billetera del estafador. Esta secuencia de eventos la convirtió en una de las mayores pérdidas por estafa en cadena registradas este año.

Poco después de recibir los fondos robados, el atacante se movió rápidamente para ocultarlos : en 30 minutos, cambiaron 50 millones de USDT a DAI usando MetaMask Swap, convirtieron todo DAI en 16,690 ETH, y depositaron 16,680 ETH en Tornado Cash, ocultando efectivamente los activos.

La Respuesta de la Víctima y la Mecánica del Envenenamiento de Direcciones

Tras la pérdida, la víctima publicó una alerta en cadena solicitando que se devolviera el 98% de los fondos robados dentro de 48 horas, incluyendo advertencias legales y ofreciendo una recompensa de $1 millón para sombreros blancos si el atacante devolvía el monto total. El análisis de la billetera mostró que había estado activa aproximadamente dos años y principalmente manejaba transferencias de USDT, con los fondos retirados de Binance poco antes del incidente.

Generalmente, el envenenamiento de direcciones no explota fallas en contratos inteligentes o criptografía. En cambio, se aprovecha de comportamientos comunes de los usuarios. ¿Cómo ocurre entonces?

• El estafador inicia una pequeña transferencia o polvo usando una billetera que se asemeja mucho al destinatario previsto, haciendo que parezca legítima a primera vista.
• Esta dirección fraudulenta aparece luego en el historial de transacciones de la víctima, mezclándose con otras transacciones pasadas y creando una falsa sensación de seguridad.
• Cuando el usuario copia esta dirección de su historial para enviar fondos, transfiere inadvertidamente los activos al atacante en lugar del destinatario correcto.

Los riesgos ilustrados por casos como este reflejan un auge más amplio en ataques en el espacio cripto. El año 2025 ha sido particularmente activo para actores maliciosos que atacan plataformas cripto. Cointribune reportó que los hackeos en el sector llevaron a pérdidas de $3.4 mil millones, marcando el total anual más alto desde 2022. La mayor parte del daño provino de un pequeño número de ataques mayores, con solo tres brechas representando el 69% del valor total robado.