Aumentan scams de direcciones en Ethereum

El equipo de Etherscan, el explorador de bloques más utilizado de Ethereum, publicó el pasado 12 de marzo un informe que detalla un incremento sostenido en los ataques de envenenamiento de direcciones (address poisoning). El informe identifica a la actualización Fusaka, activada en diciembre de 2025, como el factor principal que ha acelerado esta modalidad de estafa.

La relación entre el aumento de los hackeos y la actualización es directa: Fusaka redujo significativamente los costes de transacción (gas fees) en la red mientras incrementaba el volumen de actividad. Según la lógica económica del ataque, a menor coste por transacción, mayor cantidad de intentos de envenenamiento puede ejecutar un atacante con el mismo presupuesto.

Para ilustrar este crecimiento, Etherscan señala que en los 90 días posteriores a Fusaka, Ethereum procesó un 30% más de transacciones diarias y la creación de nuevas direcciones aumentó un 78% en comparación con el trimestre anterior.

Mecánica de la estafa: transferencias de polvo

El vector principal utilizado por los atacantes son las llamadas «transferencias de polvo» (dust transfers). El objetivo es envenenar el historial de transacciones de una víctima.

El proceso opera de la siguiente manera:

  1. Monitoreo: Los atacantes utilizan sistemas automatizados para detectar transacciones legítimas en tiempo real.
  2. Suplantación: Generan una dirección de wallet falsa que imita los primeros y últimos caracteres de la dirección real con la que la víctima interactuó.
  3. Inyección: Desde esa dirección falsa, envían una cantidad ínfima (inferior a 0,01 USD) a la wallet de la víctima.
  4. El error: La dirección falsa queda registrada en el historial de la víctima. Si el usuario copia la dirección desde ese historial sin verificar cada carácter, enviará los fondos al atacante en su próxima operación.

El informe describe un escenario de alta competencia, donde múltiples atacantes intentan insertar sus direcciones falsas en el historial inmediatamente después de una transacción legítima, compitiendo por ser el primero en aparecer.

Impacto cuantificable y riesgos

El abaratamiento de las comisiones ha permitido industrializar estos ataques. Según los datos recopilados:

  • Las dust transfers de USDT aumentaron un 612% (de 4,2 millones a 29,9 millones).
  • Las de USDC crecieron un 473%.
  • Las de DAI aumentaron un 470%.

Aunque la tasa de éxito por intento es baja —aproximadamente el 0,01% (una víctima cada 10.000 intentos)—, el volumen masivo de ataques lo convierte en un negocio rentable. El informe cita un caso de diciembre de 2025 donde un usuario perdió 50 millones de dólares. Un estudio previo citado por Etherscan registró 17 millones de intentos entre 2022 y 2024, con pérdidas confirmadas de al menos 79,3 millones de dólares.

El papel técnico de Fusaka y antecedentes

Fusaka introdujo 13 Propuestas de Mejora (EIP) orientadas a la escalabilidad y reducción de tarifas. Aunque Etherscan no detalla qué EIP específica facilitó los ataques, mejoras como la EIP-7935 (aumento del límite de gas por bloque) y PeerDAS (EIP-7594, eficiencia de datos) han contribuido a hacer que las transacciones de bajo valor, como las dust transfers, sean económicamente viables para los delincuentes.

Este fenómeno no es aislado en la historia reciente de Ethereum. En mayo de 2025, la actualización Pectra implementó la EIP-7702, que permitía agrupar autorizaciones en una sola transacción. Esto fue explotado para campañas de phishing, donde los usuarios aprobaban vaciados de cartera completos en un solo paso al creer que estaban interactuando con un airdrop.

Estos casos ilustran la tensión estructural en el desarrollo de la red: las mejoras que incrementan la eficiencia y accesibilidad a menudo amplían la superficie de ataque para vectores fraudulentos. Frente a esto, Etherscan recomienda verificar siempre la dirección completa, usar libretas de direcciones y evitar copiar directamente del historial de transacciones.

Comparte esta noticia, elige tu plataforma!

Leave A Comment