Wang Chun también fue víctima: 50 millones de dólares de "matrícula". ¿Por qué el envenenamiento de direcciones es tan exitoso?

Título original: "50 millones de USD robados por no verificar la dirección"

Autor: Eric, Foresight News

Ayer por la mañana, hora de Pekín, un analista de blockchain llamado Specter descubrió un caso en el que casi 50 millones de USDT fueron transferidos a la dirección de un hacker debido a la falta de una verificación cuidadosa de la dirección.

Según la investigación realizada por el autor, la dirección (0xcB80784ef74C98A89b6Ab8D96ebE890859600819) retiró 50 USDT de Binance para una prueba de retiro grande alrededor de las 13:00 del día 19, hora de Pekín.

Aproximadamente 10 horas después, la dirección retiró 49,999,950 USDT en una sola transacción desde Binance, sumándose a los 50 USDT anteriores, totalizando exactamente 50 millones.

Aproximadamente 20 minutos después, la dirección que recibió los 50 millones de USDT transfirió primero 50 USDT a la dirección 0xbaf4…95F8b5 con fines de prueba.

En menos de 15 minutos después de la transacción de prueba, la dirección del hacker 0xbaff…08f8b5 transfirió 0.005 USDT a la dirección que contenía los 49,999,950 USDT restantes. La dirección del hacker utilizada para la transferencia tenía un principio y un final muy similares a la dirección que recibió los 50 USDT, lo que indica un claro ataque de "envenenamiento de direcciones".

10 minutos después, cuando la dirección que comenzaba con 0xcB80 intentó transferir los más de 40 millones de USDT restantes, posiblemente debido a negligencia, copió erróneamente la transacción anterior, es decir, la dirección utilizada por el hacker para el "envenenamiento", y envió directamente casi 50 millones de USDT al hacker.

Tras recibir los 50 millones de USD, el hacker inició actividades de lavado de dinero solo 30 minutos después. Según el monitoreo de SlowMist, el hacker primero convirtió los USDT a DAI a través de MetaMask, luego utilizó todos los DAI para comprar aproximadamente 16,690 Ethereum, manteniendo 10 ETH y transfiriendo el Ethereum restante a Tornado Cash.

Ayer alrededor de las 16:00 (hora de Pekín), la víctima llamó al hacker en la cadena, declarando que se habían presentado cargos penales oficialmente. Con la asistencia de agencias de aplicación de la ley, organizaciones de ciberseguridad y múltiples protocolos de blockchain, se ha recopilado una cantidad significativa de inteligencia creíble sobre las actividades del hacker. La víctima declaró que el hacker podría quedarse con 1 millón de dólares y devolver el 98% restante de los fondos. Si el hacker cumple, no se tomarán más medidas; sin embargo, si el hacker no coopera, será perseguido por canales legales por responsabilidad penal y civil, y la identidad del hacker será revelada públicamente. Hasta ahora, el hacker no ha realizado ningún movimiento.

Según los datos compilados por la plataforma Arkham, esta dirección tiene registros de grandes transferencias con direcciones de Binance, Kraken, Coinhako y Cobo. Si bien Binance, Kraken y Cobo son bien conocidos, Coinhako puede ser un nombre relativamente desconocido. Coinhako es una plataforma de exchange de criptomonedas local de Singapur establecida en 2014. En 2022, obtuvo una licencia de Institución de Pago Principal de la Autoridad Monetaria de Singapur, lo que la convierte en una plataforma de exchange regulada en Singapur.

Dado que esta dirección interactuó con múltiples exchanges y servicios de custodia Cobo y demostró la capacidad de contactar rápidamente a varias partes para rastrear al hacker dentro de las 24 horas posteriores al incidente, el autor especula que esta dirección probablemente pertenece a una organización en lugar de a un individuo.

De un "Ups" a un error costoso

La única explicación para un ataque de "envenenamiento de direcciones" exitoso es el "descuido". Tales ataques pueden evitarse fácilmente verificando dos veces la dirección antes de una transacción, pero evidentemente, la figura central en este incidente omitió este paso crucial.

Los ataques de envenenamiento de direcciones surgieron en 2022, con la historia originada en un generador de "direcciones elegantes", una herramienta que permite la personalización del prefijo de la dirección EVM. Por ejemplo, el autor podría generar una dirección que comience con 0xeric para hacerla más reconocible.

El hacker descubrió más tarde que, debido a un defecto de diseño, esta herramienta podía forzar claves privadas, lo que llevó a varios incidentes importantes de robo de fondos. Sin embargo, la capacidad de generar direcciones con prefijos y sufijos personalizados también provocó una idea siniestra: al crear direcciones similares al principio y al final de la dirección de transferencia comúnmente utilizada por un usuario y transferir fondos a otra dirección utilizada por el usuario, algunas personas podrían enviar erróneamente sus activos en la cadena a la dirección del hacker, asumiendo que es la suya propia debido al descuido.

Los datos históricos en la cadena muestran que la dirección que comienza con 0xcB80 fue uno de los objetivos clave para el envenenamiento de direcciones por parte del hacker antes de este ataque, con el ataque de envenenamiento de direcciones comenzando hace casi 1 año. Este método de ataque se basa fundamentalmente en que el hacker apuesta a que algún día caerás en el truco debido a la pereza o la falta de atención. Irónicamente, este método de ataque flagrantemente obvio ha llevado a que cada vez más personas "descuidadas" se conviertan en víctimas.

En respuesta a este incidente, el cofundador de F2Pool, Wang Chun, expresó su simpatía por las víctimas. Mencionó que el año pasado, para probar si su dirección había experimentado una filtración de su private key, envió 500 Bitcoin a ella, solo para que 490 Bitcoin fueran robados por hackers. Aunque la experiencia de Wang Chun no está directamente relacionada con los ataques de envenenamiento de direcciones, probablemente quería transmitir que todos tienen momentos de descuido y no deberían culpar a las víctimas por su descuido, sino señalar con el dedo a los hackers.

Una pérdida de 50 millones de dólares no es una cantidad pequeña, pero no es la cantidad más alta robada en tales ataques. En mayo de 2024, una dirección fue víctima de un ataque similar donde más de 70 millones de dólares en Bitcoin envuelto (WBTC) fueron enviados a la dirección de un hacker. Sin embargo, la víctima finalmente recuperó casi todos los fondos a través de una negociación en la cadena con la asistencia de firmas de seguridad y la plataforma de trading Cryptex. En este incidente reciente, el hacker convirtió rápidamente los fondos robados a Ethereum y los transfirió a Tornado Cash, lo que hace que la posibilidad de recuperación sea incierta.

El cofundador y Director de Seguridad de Casa, Jameson Lopp, advirtió en abril que los ataques de envenenamiento de direcciones se estaban extendiendo rápidamente, con más de 48,000 incidentes de este tipo ocurriendo solo en la red Bitcoin desde 2023.

Estos métodos de ataque, incluidos los enlaces falsos de reuniones de Zoom en Telegram, no son sofisticados, pero es precisamente este enfoque "simple" el que puede tomar a la gente desprevenida. Para aquellos de nosotros en el bosque oscuro, siempre es mejor ser extremadamente cautelosos.

Original Article Link