Ni siquiera Wang Chun se salvó: “matrícula” de $50M y por qué el envenenamiento de direcciones sigue funcionando

Una pérdida cercana a los 50 millones de USDT el pasado 20 de diciembre de 2025 ha reavivado el debate sobre una de las estafas más simples pero efectivas del mundo cripto: el envenenamiento de direcciones. Investigadores en cadena reportaron en X que una víctima copió una dirección falsa muy similar a una usada recientemente, y envió 49.999.950 USDT a una billetera suplantada. El atacante aprovechó el error en cuestión de minutos. Datos públicos en Etherscan confirman que la dirección receptora ha sido marcada por phishing, y los analistas señalan que la víctima acababa de retirar los fondos desde Binance antes del envío equivocado. Coberturas de medios importantes corroboran el movimiento de fondos y cómo funciona la trampa de direcciones similares. (etherscan.io)

¿Qué ocurrió exactamente en el caso de los $50 millones?

• La víctima envió primero una prueba de 50 USDT a la dirección correcta, terminada en …F8b5.
• Un estafador generó rápidamente una dirección con los mismos primeros y últimos caracteres, y “envenenó” el historial del usuario con una transferencia mínima (polvo).
• Minutos más tarde, la víctima copió esta dirección envenenada desde su historial y envió los 49.999.950 USDT completos, que aterrizaron en la billetera del atacante.

Varios resúmenes del incidente coinciden en estos pasos y en el par específico de direcciones similares utilizadas. (blockchain.news)

A partir de allí, el atacante intentó evitar cualquier posible congelamiento convirtiendo los stablecoins y ocultando los rastros del dinero. Diversos análisis indican que los fondos se cambiaron de USDT a DAI, luego a ETH, y finalmente se canalizaron a través de Tornado Cash, un patrón común para dificultar su recuperación y reducir el riesgo de bloqueo. (phemex.com)

Puedes seguir el rastro en cadena por ti mismo: billetera de la víctima 0xcB80784…0819 y del atacante 0xBaFF2F…08f8b5 en Ethereum. (etherscan.io)

¿Por qué sigue funcionando el envenenamiento de direcciones?

El envenenamiento de direcciones no rompe la criptografía, lo que explota son los hábitos humanos y los atajos en las interfaces:

• La mayoría de las billeteras acortan las direcciones, por lo que los usuarios suelen verificar solo los primeros o últimos caracteres. Los atacantes crean direcciones “vanity” que coinciden con esos fragmentos y las infiltran en el historial del usuario mediante pequeñas transferencias. La próxima vez que el usuario copie desde su historial, podría elegir sin querer la dirección del atacante. Consulta la explicación oficial del Centro de Ayuda de MetaMask. (support.metamask.io)
• El checksum de mayúsculas y minúsculas de Ethereum (EIP‑55) ayuda a detectar errores tipográficos, no direcciones válidas pero parecidas. Comprender EIP‑55 y cuándo se aplica su validación es crucial: los checksums no te protegerán contra una dirección similar y perfectamente válida. (eips.ethereum.org)

“Incluso los veteranos caen”: la lección de Wang Chun

Wang Chun, cofundador de F2Pool, compartió en X que en 2024 sospechó que se había filtrado una de sus claves privadas, por lo que “probó” su teoría enviando 500 BTC a la dirección sospechosa. Le robaron 490 BTC y quedaron apenas 10 BTC. Su historia demuestra que las fallas operativas—más que errores en el protocolo—siguen provocando grandes pérdidas. Varios medios especializados resumieron su publicación y la dirección involucrada. (theblockbeats.info)

“¿Por qué no simplemente congelar los USDT?”

Si bien USDT puede congelarse desde el nivel del emisor del token, estos bloqueos no son instantáneos, y los atacantes corren contra el reloj. Investigaciones recientes han revelado demoras y procesos administrativos en los bloqueos de redes principales, lo que da tiempo a los agresores para convertir los fondos a activos no congelables o enrutarlos hacia mixers. Por eso, muchos envenenadores convierten a DAI o ETH antes de lavar los fondos. (cointelegraph.com)

El panorama de 2025: las carteras personales están bajo presión

El informe de fin de año de Chainalysis proyecta que el robo de criptoactivos supera los $3.4 mil millones en 2025, con un alarmante aumento en compromisos de carteras personales, mientras que los ataques DeFi han sido relativamente estables. Aunque algunos incidentes grandes dominan los totales, errores de los usuarios como el envenenamiento de direcciones están generando pérdidas cada vez más significativas. (chainalysis.com)

Una guía práctica y probada para evitar el envenenamiento de direcciones

Aplica esta lista defensiva siempre que muevas sumas importantes:

1. Verifica la dirección completa, no solo los caracteres iniciales o finales. Si no puedes revisar cada carácter, no envíes. La guía de MetaMask lo dice claro: nunca copies desde el historial de transacciones. (support.metamask.io)
2. Usa una libreta de direcciones o una lista de permitidos. Crea contactos verificados y con nombre para transferencias recurrentes, y bloquea los envíos solo a esas direcciones cuando sea posible.
3. Verifica en la pantalla del dispositivo. Muestra y aprueba la dirección en tu hardware wallet, de modo que software malicioso o un historial envenenado no puedan cambiar silenciosamente el destino.
4. Verificación fuera de canal. En grandes transferencias, pídele al destinatario que firme un mensaje desde su dirección, o valida por un canal seguro previamente acordado (PGP, Signal).
5. Simulación de transacciones y comprobaciones de riesgo. Usa herramientas confiables para simular operaciones y detectar direcciones sospechosas o permisos de phishing antes de firmar.
6. Considera usar ENS u otros nombres legibles por humanos para procesos repetitivos, pero siempre verifica que la dirección conectada coincida con tu contacto al momento de firmar.
7. Políticas internas en equipos. Para instituciones, aplica control dual al hacer retiros, listas de direcciones autorizadas y obliga a adjuntar capturas de pantalla (desde el dispositivo) en cada aprobación.

Para usuarios de OneKey

Si ya usas OneKey, apóyate en el flujo de trabajo con pantalla del dispositivo:

• Verifica la dirección del destinatario directamente en la pantalla del hardware antes de firmar. Esto evita que la app o el historial alterado sustituyan la dirección justo antes del envío.
• Usa contactos o listas de permiten en la aplicación para destinatarios frecuentes. Para operaciones de alto valor, combínalo con políticas de aprobación múltiple.
• Mantén siempre actualizados el firmware y la app OneKey; su arquitectura de código abierto y sistema de verificación ayudan a asegurar que estás usando software auténtico.

Esto no te hará invulnerable—nada lo hace—pero sí dificulta muchísimo que un atacante tenga éxito con el envenenamiento de direcciones.

Reflexión final

El envenenamiento de direcciones nos recuerda que los mayores riesgos en cripto siguen siendo operativos, no técnicos. El caso de los $50 millones demuestra cómo un simple copiar y pegar puede borrar años de patrimonio. Si mueves grandes sumas, adopta una mentalidad paranoica: trata las direcciones como datos sensibles de transferencias bancarias y verifica siempre, fuera de línea y en tu dispositivo.

Referencias: resúmenes del incidente y datos en cadena, guías de seguridad para carteras, y tendencias generales de 2025. Consulta el informe de Cointelegraph, los registros de direcciones en Etherscan, la guía de MetaMask, el estándar EIP‑55, el informe de Chainalysis sobre 2025, y resúmenes en chino sobre la revelación de Wang Chun en BlockBeats. (cointelegraph.com)

Si aún no usas una billetera de hardware ni tienes un flujo disciplinado de trabajo, es momento de construir uno. Para usuarios de OneKey, siempre “verifica en el dispositivo”, guarda contactos confiables y exige múltiples verificaciones en transferencias importantes—estos hábitos simples contrarrestan directamente el truco detrás del envenenamiento de direcciones.