Estafa de envenenamiento de direcciones: Un error de copiar y pegar le costó a un trader de cripto $50 millones

Un usuario de criptomonedas perdió casi $50 millones en USDT en una estafa de secuestro de direcciones después de copiar una dirección de billetera fraudulenta de su historial de transacciones, según la firma de seguridad blockchain SlowMist.

La víctima transfirió 49,999,950 USDT a una dirección controlada por el atacante que imitaba estrechamente su destino previsto, con los primeros tres y últimos cuatro caracteres coincidentes.

Los fondos robados se convirtieron rápidamente a ETH, se distribuyeron en múltiples billeteras y se canalizaron parcialmente a través del mezclador Tornado Cash.

Según los detalles de seguridad, la billetera de la víctima había estado activa durante aproximadamente 2 años y se utilizaba principalmente para transferencias de USDT, con los fondos comprometidos retirados de Binance poco antes de la transferencia envenenada.

Las estafas cripto alcanzan los $90 mil millones

El incidente surgió en medio de una crisis de seguridad más amplia que afecta a la industria de las criptomonedas, que ahora ha perdido casi $90 mil millones por hackeos y exploits desde su inicio.

Solo noviembre registró más de $276 millones robados, elevando las pérdidas de 2025 más allá de $9.1 mil millones, lo que significa que aproximadamente el 10% de todas las pérdidas históricas de cripto han ocurrido en los últimos 12 meses.

Mitchell Amador, CEO de Immunefi, advirtió que el panorama de amenazas está cambiando fundamentalmente.

"El panorama de amenazas está cambiando de vulnerabilidades de código en cadena a ataques de seguridad operativa y a nivel de tesorería", dijo a Cryptonews. "A medida que el código se endurece, los atacantes apuntan al elemento humano".

A pesar de que 2025 fue el peor año para hackeos registrado, Amador enfatizó que estas pérdidas provienen de fallas operativas más que de vulnerabilidades de Smart Contract.

"Aunque 2025 fue el peor año para hackeos registrado, esas pérdidas fueron impulsadas principalmente por fallas de infraestructura Web2 tradicional y colapsos de seguridad operativa, no por código en cadena", explicó.

El FBI informa $9.3 mil millones perdidos por fraude de inversión

Los estadounidenses perdieron aproximadamente $9.3 mil millones en esquemas de inversión cripto en 2024, marcando un aumento del 66% respecto al año anterior, según datos del FBI.

Las estafas de pig-butchering contribuyeron con más de $9.9 mil millones a nivel mundial, con datos de Chainalysis que muestran que la actividad aumentó casi un 40% en 2024.

Los senadores estadounidenses Elissa Slotkin y Jerry Moran presentaron la Ley SAFE Crypto, que propone un grupo de trabajo federal para coordinar agencias gubernamentales, autoridades policiales y expertos del sector privado para combatir el fraude relacionado con cripto.

La legislación requiere que los emisores autorizados de Stablecoin mantengan capacidades técnicas para congelar o confiscar activos digitales vinculados a actividades ilegales.

Las acciones de aplicación se han intensificado, con autoridades estadounidenses anunciando la mayor incautación de cripto jamás realizada en octubre, dirigida al Prince Holding Group con sede en Camboya.

Tether también congeló casi $50 millones en USDT vinculados a redes de pig-butchering del sudeste asiático, mientras que Binance evitó que 7.5 millones de usuarios perdieran casi $10 mil millones por fraude entre diciembre de 2022 y mayo de 2025.

El factor humano se convierte en el vector de ataque principal

Más allá de las estafas sofisticadas, los ataques de malware continúan vaciando billeteras, con un empresario de Singapur perdiendo más de $100,000 después de descargar software malicioso disfrazado como un programa de prueba de juegos.

Una violación separada de billetera multifirma a principios de este mes resultó en aproximadamente $27.3 millones robados mediante compromiso de clave privada, con atacantes lavando aproximadamente $12.6 millones a través de Tornado Cash.

Amador argumentó que la industria debe reestructurar fundamentalmente su enfoque de seguridad.

"Asegurar el código no es suficiente si los usuarios y operadores permanecen vulnerables", dijo.

"Las empresas de Web3 necesitan invertir mucho más en seguridad de capa humana, y esto significa capacitar equipos, ajustar controles operativos y educar directamente a los usuarios sobre cómo detectar mensajes de estafa, reconocer intentos de ingeniería social y proteger sus activos en cadena."

Señaló que el 99% de los proyectos de Web3 operan sin cortafuegos básicos, mientras que menos del 10% despliegan herramientas de seguridad modernas impulsadas por IA.

"La mayoría de los hackeos de este año no han ocurrido debido a auditorías deficientes", explicó Amador. "Han ocurrido después del lanzamiento, durante actualizaciones de protocolo o a través de vulnerabilidades de integración, puntos ciegos que las auditorías por sí solas no pueden detectar."

A pesar de las crecientes pérdidas, Amador mantuvo el optimismo sobre la seguridad del código en cadena, prediciendo que 2026 será el mejor año hasta ahora para la seguridad de Smart Contract a medida que la industria continúa fortaleciendo su infraestructura técnica.