Hackeados por 20 millones de USDT: un hacker explota la vulnerabilidad de transferencia de valor cero

El servicio de seguridad blockchain PeckShieldAlert ha revelado un incidente reciente en el que un estafador logró robar la friolera de 20 millones de USDT de una víctima desprevenida mediante un ataque de transferencia cero.
La comunidad de criptomonedas respondió rápidamente, y Tether congeló proactivamente los activos robados al incluir en la lista negra las direcciones del estafador tan solo una hora después del incidente.
La víctima, identificada como 0x407e, había recibido anteriormente 10 millones de USDT de Binance (BNB) y posteriormente había intentado transferir las monedas a una dirección alternativa prevista.
Fue durante esta transferencia que el estafador ejecutó una transferencia de token de valor cero desde la dirección de la víctima a su propia dirección de phishing.
El intrincado funcionamiento de una estafa de transferencia de valor cero implica manipular a los usuarios para que ejecuten una transacción con un valor de $0 en una dirección de phishing que tiene un parecido sorprendente con la dirección del destinatario previsto.
Los estafadores a menudo aprovechan la práctica común de que los usuarios solo miren el principio y el final de la dirección de una billetera, sin tener en cuenta la parte central.
Al crear una dirección de phishing que imita fielmente la original, los estafadores engañan a los usuarios haciéndoles creer que están enviando fondos a la dirección correcta.
Dado que las transferencias de valor cero no involucran fondos reales, no requieren la clave privada de la víctima para su ejecución. Si bien esta transferencia inicial no resulta en una pérdida directa de fondos, prepara el escenario para futuros engaños.
Los usuarios que dependen de historiales de transacciones para validar direcciones pueden ser víctimas de este tipo de ataque, ya que, sin saberlo, podrían enviar fondos reales a una dirección de phishing en el futuro.
En el caso que nos ocupa, la táctica de transferencia de valor cero del estafador llevó a la víctima a enviar por error $0 USDT a la dirección de phishing.
Posteriormente, cuando la víctima inició una transacción legítima, fue engañada para que utilizara la dirección de phishing, lo que provocó la pérdida de una cantidad sustancial de criptomonedas.
Un aspecto notable de este incidente fue la rápida respuesta de Tether. La rápida acción de la compañía al incluir en la lista negra las direcciones del estafador una hora después del ataque muestra el compromiso de la industria para abordar tales amenazas.