Saltar al contenido principal

Envenenamiento de Direcciones: La Estafa Silenciosa que Drena Millones un Copia y Pega a la Vez

· 11 min de lectura
Dora Noda
Dora Noda
Software Engineer

Un solo error al copiar y pegar le costó a un comerciante de criptomonedas $ 50 millones en diciembre de 2025. No se explotó ningún contrato inteligente. Ninguna clave privada se vio comprometida. La víctima simplemente copió una dirección de billetera de su historial de transacciones, una que parecía casi idéntica a la real pero que pertenecía a un atacante. Bienvenidos a la intoxicación de direcciones (address poisoning), el vector de ataque más insidioso y subestimado de DeFi.

¿Qué es la intoxicación de direcciones?

La intoxicación de direcciones (address poisoning) es un ataque de ingeniería social que utiliza como arma la forma en que los humanos interactúan con las direcciones de blockchain. A diferencia de los hackeos tradicionales que explotan vulnerabilidades de código, esta estafa explota una debilidad mucho más fundamental: el comportamiento humano.

Así es como funciona en la práctica:

  1. Vigilancia: Un atacante monitorea la blockchain en busca de billeteras de alto valor que realicen transferencias regulares.
  2. Generación de direcciones similares: Utilizando herramientas de direcciones "vanity" aceleradas por GPU como Profanity2 o Vanity-ETH, el atacante genera una dirección de billetera que coincide con los primeros 4 - 6 y los últimos 4 - 6 caracteres de la dirección del destinatario que la víctima utiliza con frecuencia.
  3. Intoxicación del historial: El atacante envía una transacción diminuta, a menudo de valor cero o solo fracciones de centavo, desde la dirección similar a la billetera de la víctima. Esto "siembra" el historial de transacciones de la víctima con la dirección falsa.
  4. La trampa se activa: Cuando la víctima necesita enviar fondos más tarde, abre su historial de transacciones, identifica lo que parece ser su dirección de destinatario habitual, la copia y realiza el envío. Los fondos van directamente al atacante.

Todo el ataque le cuesta al adversario tan solo unos pocos centavos en tarifas de gas. La recompensa puede ser de millones.

La escala es asombrosa

La investigación académica presentada en USENIX Security 2025 reveló la verdadera magnitud de esta amenaza. Durante un período de medición de dos años, los investigadores identificaron 270 millones de intentos de intoxicación en Ethereum y Binance Smart Chain, dirigidos a más de 17 millones de direcciones de víctimas únicas utilizando aproximadamente 50 millones de direcciones similares.

Las pérdidas confirmadas superan los $ 83,8 millones solo en Ethereum. Y esos son solo los casos documentados; la cifra real es casi con seguridad mayor, ya que muchas víctimas nunca informan o ni siquiera se dan cuenta de lo que sucedió.

El efecto Fusaka

La actualización Fusaka de Ethereum el 3 de diciembre de 2025 potenció inadvertidamente la intoxicación de direcciones. Al reducir las tarifas de transacción aproximadamente 6 veces, la actualización hizo que las campañas de intoxicación a gran escala fueran drásticamente más baratas de ejecutar. Los resultados fueron inmediatos:

  • Las transacciones de "polvo" (dust) diarias saltaron a 167.000, alcanzando un máximo de 510.000 en un solo día en enero de 2026.
  • Los intentos de intoxicación se dispararon de 628.000 en noviembre de 2025 a millones en enero de 2026, un aumento de más de 5 veces en solo dos meses.
  • El 67 % de las direcciones de Ethereum recientemente activas recibieron menos de $ 1 en su primera transacción, un indicador claro de campañas sistemáticas de "dusting".

Si bien las transacciones diarias de Ethereum aumentaron un ~ 50 % y las direcciones activas aumentaron un ~ 60 % después de Fusaka, una parte significativa de este "crecimiento" fue artificial, impulsado por bots de intoxicación en lugar de una adopción orgánica.

Anatomía de un error de $ 50 millones

El ataque de intoxicación de direcciones más devastador hasta la fecha ocurrió el 20 de diciembre de 2025. Un comerciante de criptomonedas envió primero una pequeña transacción de prueba a la dirección correcta, una práctica estándar recomendada. Pero un atacante estaba observando.

En cuestión de minutos, el atacante generó una dirección similar que coincidía con el destino de la víctima, envió una transacción de polvo para intoxicar el historial y esperó. Solo 26 minutos después, la víctima copió la dirección intoxicada de su registro de transacciones y envió 49.999.950 USDT directamente al atacante.

El atacante actuó con precisión quirúrgica:

  • En 30 minutos, intercambió (swap) la totalidad de los $ 50 millones de USDT a DAI a través de MetaMask Swap, una elección estratégica ya que Tether puede congelar USDT en billeteras marcadas, pero el DAI descentralizado carece de tales controles centralizados.
  • Convirtió el DAI en aproximadamente 16.690 ETH.
  • Depositó el ETH en Tornado Cash para ocultar el rastro.

La víctima publicó un mensaje on-chain exigiendo la devolución del 98 % de los fondos y ofreciendo una recompensa de "white-hat" de $ 1 millón. Los fondos nunca fueron devueltos.

El caso Sillytuna: Cuando los ataques digitales se vuelven físicos

El 5 de marzo de 2026, el influencer de criptomonedas "Sillytuna" perdió **24millonesenaEthUSDCatraveˊsdeunataquedeintoxicacioˊndedireccionesenAave.ElatacanteintercambioˊraˊpidamentelostokensaETH,losconvirtioˊenaproximadamente24 millones en aEthUSDC** a través de un ataque de intoxicación de direcciones en Aave. El atacante intercambió rápidamente los tokens a ETH, los convirtió en aproximadamente 20 millones en DAI y comenzó a enviar porciones a través de puentes (bridging) a Arbitrum para complicar el rastreo.

Pero este caso fue más allá del robo digital. Sillytuna informó haber recibido amenazas físicas, incluyendo armas y amenazas de secuestro, tras el ataque. La víctima anunció planes para abandonar las criptomonedas por completo. El incidente ilustró una escalada aterradora: la intoxicación de direcciones como punto de entrada para ataques combinados digital - físicos dirigidos a poseedores conocidos de criptomonedas.

Otros incidentes notables de 2026 incluyen:

  • 4.556 ETH ($ 12,4 millones) robados el 30 de enero de 2026, a una víctima que realizaba lo que parecía ser un depósito OTC de rutina.
  • Dos víctimas perdieron un total combinado de $ 62 millones por intoxicación de direcciones entre diciembre de 2025 y enero de 2026, según Scam Sniffer.

Tres variantes de ataque

Los investigadores han identificado tres estrategias principales de envenenamiento, cada una de las cuales explota diferentes mecanismos técnicos:

1. Ataques de transferencias diminutas

El atacante envía una pequeña cantidad (normalmente menos de 10 $) desde una dirección similar (lookalike). Esto crea una entrada de apariencia legítima en el historial de transacciones de la víctima. Al atacante le cuesta tokens reales, pero produce entradas de historial convincentes.

2. Ataques de transferencias de valor cero

Al explotar la función transferFrom de ERC-20, los atacantes pueden crear eventos de transferencia de tokens que aparecen en los registros de transacciones sin gastar ningún token. El estándar ERC-20 permite llamadas transferFrom con montos de cero, que los exploradores de bloques y las billeteras muestran como transacciones normales. Esta es la variante más barata y común.

3. Ataques de tokens falsificados

Los atacantes despliegan contratos de tokens falsos que imitan a tokens legítimos (como USDT o USDC falsos). Envían tokens falsificados sin valor desde direcciones similares, creando entradas en el historial de transacciones que parecen idénticas a las transferencias reales en muchas interfaces de billeteras.

Por qué las defensas tradicionales siguen fallando

El envenenamiento de direcciones persiste porque apunta a la brecha entre la seguridad de la cadena de bloques y la usabilidad humana:

  • No requiere malware: A diferencia del phishing o los keyloggers, el envenenamiento de direcciones no requiere acceso al dispositivo de la víctima.
  • Sin explotación de contratos inteligentes: La propia cadena de bloques funciona exactamente como fue diseñada; la víctima autoriza genuinamente la transferencia.
  • Dependencia de las abreviaturas: La mayoría de las billeteras muestran las direcciones como 0xAbCd...EfGh, mostrando solo los primeros y últimos caracteres. Los atacantes hacen coincidir específicamente estas partes visualizadas.
  • El historial de transacciones como fuente de confianza: Los usuarios tratan su propio historial de transacciones como una libreta de direcciones confiable, sin darse cuenta de que cualquiera puede manipularlo en una cadena de bloques pública.
  • Irreversibilidad: Una vez confirmadas, las transacciones en la cadena de bloques no se pueden revertir. No hay un servicio al cliente al que llamar ni un contracargo que presentar.

El manual de defensa

La protección requiere tanto disciplina individual como mejoras en todo el ecosistema:

Para usuarios individuales

  • Nunca copie direcciones del historial de transacciones. Recupere siempre las direcciones de su fuente original y verificada: un contacto guardado, un sitio web oficial o una comunicación directa con el destinatario.
  • Verifique la dirección COMPLETA. Revise cada carácter, no solo el principio y el final. Incluso un solo carácter diferente en el medio significa una billetera completamente distinta.
  • Utilice las libretas de direcciones con rigor. La mayoría de las billeteras admiten listas de contactos o listas blancas de direcciones. Una vez que verifique una dirección, guárdela y envíe siempre desde el contacto guardado.
  • Aproveche el ENS y los dominios de cadena de bloques. Los nombres de Ethereum Name Service (ENS) como tunombre.eth eliminan por completo la necesidad de manejar direcciones sin procesar, lo que reduce drásticamente el riesgo de copiar y pegar.
  • Envíe transacciones de prueba y luego verifique cuidadosamente. Las transacciones de prueba son una buena práctica, pero no lo protegen si copia la dirección envenenada la segunda vez. Después de una prueba, verifique que el destinatario confirmó la recepción a través de un canal fuera de la cadena (off-chain).

Soluciones a nivel de ecosistema

La industria está comenzando a responder, aunque el progreso ha sido desigual:

  • Trust Wallet lanzó la protección automática contra el envenenamiento de direcciones en 32 cadenas EVM en marzo de 2026, escaneando cada transacción saliente en tiempo real contra direcciones de envenenamiento conocidas.
  • Ledger Live ahora oculta las transferencias de tokens de valor cero por defecto, filtrando los intentos comunes de envenenamiento antes de que aparezcan en el historial de transacciones.
  • Advertencias a nivel de billetera: Varias billeteras ahora marcan transacciones a direcciones que se parecen mucho pero no coinciden con las direcciones en el historial del usuario.
  • Las iniciativas de Clear Signing requieren que los usuarios revisen y confirmen los detalles completos de la transacción en las pantallas de las billeteras de hardware antes de firmar.

Lo que la industria aún necesita

A pesar de estas mejoras, persisten lagunas críticas:

  • Protección activada por defecto: Las defensas contra el envenenamiento de direcciones deberían estar habilitadas de forma predeterminada en cada billetera, no ser funciones opcionales enterradas en la configuración.
  • Visualización completa de la dirección: Las billeteras deberían mostrar las direcciones completas durante el paso de confirmación, no versiones abreviadas.
  • Coordinación entre cadenas (cross-chain): Los atacantes utilizan cada vez más puentes para mover fondos robados a través de las cadenas (como se vio en el caso de Sillytuna). Las protecciones de las billeteras deben ser multi-cadena desde el primer día.
  • Mitigaciones a nivel de protocolo: Los contratos ERC-20 podrían actualizarse para rechazar llamadas transferFrom de valor cero de remitentes no autorizados, eliminando la variante de envenenamiento más barata a nivel de protocolo.

La incómoda verdad

El envenenamiento de direcciones expone una tensión fundamental en la filosofía de diseño de las criptomonedas. Las mismas propiedades que hacen que la cadena de bloques sea poderosa (sin permisos, inmutable, seudónima) también la convierten en un entorno perfecto para los ataques de ingeniería social. Cualquiera puede enviar transacciones a cualquier dirección. Una vez enviados, los fondos no se pueden recuperar. Y las direcciones están diseñadas para máquinas, no para la memoria humana.

Los 83,8 millones de dólares en pérdidas confirmadas son casi con seguridad una fracción del coste real. Muchas víctimas nunca se dan cuenta de que fueron envenenadas. Otros se sienten demasiado avergonzados para informar. Y con la reducción de tarifas de Ethereum después de Fusaka, que hace que las campañas de envenenamiento sean más baratas que nunca, la superficie de ataque se está expandiendo, no reduciendo.

Hasta que las billeteras traten la verificación de direcciones como una preocupación de seguridad de primer nivel, y no como algo secundario, el envenenamiento de direcciones continuará drenando millones de los usuarios que hicieron todo lo demás correctamente.

Construir sobre la infraestructura de blockchain requiere confiar en los cimientos de su aplicación. BlockEden.xyz proporciona servicios RPC y API de grado empresarial a través de múltiples cadenas, para que los desarrolladores puedan concentrarse en crear experiencias de usuario seguras en lugar de gestionar la infraestructura de nodos. Explore nuestro marketplace de API para comenzar.

Share on Twitter