Ciberataque roba millones con un solo clic

window.litespeed_ui_events=window.litespeed_ui_events||["mouseover","click","keydown","wheel","touchmove","touchstart"];var urlCreator=window.URL||window.webkitURL;function litespeed_load_delayed_js_force(){console.log("[LiteSpeed] Start Load JS Delayed"),litespeed_ui_events.forEach(e=>{window.removeEventListener(e,litespeed_load_delayed_js_force,{passive:!0})}),document.querySelectorAll("iframe[data-litespeed-src]").forEach(e=>{e.setAttribute("src",e.getAttribute("data-litespeed-src"))}),"loading"==document.readyState?window.addEventListener("DOMContentLoaded",litespeed_load_delayed_js):litespeed_load_delayed_js()}litespeed_ui_events.forEach(e=>{window.addEventListener(e,litespeed_load_delayed_js_force,{passive:!0})});async function litespeed_load_delayed_js(){let t=[];for(var d in document.querySelectorAll('script[type="litespeed/javascript"]').forEach(e=>{t.push(e)}),t)await new Promise(e=>litespeed_load_one(t[d],e));document.dispatchEvent(new Event("DOMContentLiteSpeedLoaded")),window.dispatchEvent(new Event("DOMContentLiteSpeedLoaded"))}function litespeed_load_one(t,e){console.log("[LiteSpeed] Load ",t);var d=document.createElement("script");d.addEventListener("load",e),d.addEventListener("error",e),t.getAttributeNames().forEach(e=>{"type"!=e&&d.setAttribute("data-src"==e?"src":e,t.getAttribute(e))});let a=!(d.type="text/javascript");!d.src&&t.textContent&&(d.src=litespeed_inline2src(t.textContent),a=!0),t.after(d),t.remove(),a&&e()}function litespeed_inline2src(t){try{var d=urlCreator.createObjectURL(new Blob([t.replace(/^(?: )?$/gm,"$1")],{type:"text/javascript"}))}catch(e){d="data:text/javascript;base64,"+btoa(t.replace(/^(?: )?$/gm,"$1"))}return d} var litespeed_vary=document.cookie.replace(/(?:(?:^|.*;\s*)_lscache_vary\s*\=\s*([^;]*).*$)|^.*$/,"");litespeed_vary||fetch("/wp-content/plugins/litespeed-cache/guest.vary.php",{method:"POST",cache:"no-cache",redirect:"follow"}).then(e=>e.json()).then(e=>{console.log(e),e.hasOwnProperty("reload")&&"yes"==e.reload&&(sessionStorage.setItem("litespeed_docref",document.referrer),window.location.reload(!0))});

Cómo ocurrió el ataque de address poisoning

En el centro del incidente se encuentra una billetera que ha estado activa durante casi dos años y que se utiliza principalmente para transferencias de USDT. Tras retirar fondos de Binance, el usuario recibió aproximadamente 50 millones de dólares en USDT. Creyendo que era un método seguro, el usuario primero realizó una pequeña transferencia de prueba. Unos minutos después, se efectuó la transferencia principal, pero sin saberlo, el usuario utilizó la dirección equivocada.

Antes de llegar a este punto, el estafador ya había preparado el ataque de “address poisoning”. Se creó una billetera que se parecía mucho a una dirección que la víctima usaba frecuentemente, y se le envió una cantidad minúscula de USDT, sumando así a su historial de transacciones. Dado que las direcciones en la interfaz de la billetera aparecen como cadenas largas y complejas, el usuario copió inadvertidamente esta dirección falsa desde el historial de transacciones al intentar transferir fondos, lo que resultó en que casi 50 millones de dólares fueran enviados a la billetera del atacante con un solo clic.

La controversia sobre el modelo UTXO y la perspectiva de Charles Hoskinson

Charles Hoskinson, el fundador de Cardano, opinó sobre el incidente, argumentando que una pérdida así es mucho más difícil de experimentar en ciertas arquitecturas blockchain. Señaló que los modelos basados en cuentas, como los utilizados por Ethereum y las redes basadas en EVM, estructuralmente permiten fraudes como el address poisoning. En este modelo, las direcciones se mantienen como cuentas permanentes y las billeteras suelen sugerir a los usuarios copiar direcciones de transacciones previas, un hábito aprovechado por los estafadores.

Según Hoskinson, las redes que emplean el modelo UTXO, como Bitcoin y Cardano, son más resistentes en este aspecto. En el modelo UTXO, cada transacción genera nuevas salidas mientras consume las antiguas, eliminando la idea de un “saldo de cuenta” permanente. Por lo tanto, no existe un historial de direcciones persistente que pueda ser visualmente envenenado. Él enfatiza que este incidente no es una falla del protocolo ni un error de smart contract, sino una interacción peligrosa entre el diseño y el comportamiento humano.

Riesgos similares han sido señalados por otros informes recientemente. En las últimas semanas, un importante proveedor de billeteras lanzó una actualización de seguridad para advertir a los usuarios sobre el hábito de copiar direcciones y renovó sus pantallas de verificación de direcciones. Estos desarrollos subrayan la importancia del diseño de las billeteras junto con las precauciones individuales.