Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 205Phishing / Ingeniería social

El día de pago del cazador de ballenas

Una ballena cripto perdió $55,47M en DAI tras firmar una tx maliciosa en una copia phishing del login de DeFi Saver impulsada por Inferno Drainer.

Fecha
Víctima
Anonymous whale
Cadena(s)
Ethereum
Estado
Fondos robados

El 20 de agosto de 2024, una ballena cripto anónima perdió $55,47 millones en DAI — la totalidad de una sola posición de bóveda Maker — por un ataque de phishing que aprovechó la infraestructura Inferno Drainer. La víctima firmó una transacción maliciosa en lo que creía que era la interfaz de gestión de DeFi Saver; la firma transfirió la propiedad de su bóveda Maker al atacante, que inmediatamente retiró los 55.473.618 DAI mantenidos contra la posición.

Qué ocurrió

La billetera de la víctima tenía una posición sustancial en MakerDAO — deuda colateralizada que había generado 55,47M DAI en liquidez. La posición se gestionaba usando DeFi Saver, una UI popular para monitorizar y ajustar bóvedas Maker.

El atacante, operando a través de la plataforma de estafa-como-servicio Inferno Drainer:

  1. Creó una copia phishing de la página de login de DeFi Saver. Inferno Drainer se especializa en esto — construyen imitaciones perfectas hasta el pixel de front-ends DeFi legítimos e inyectan flujos maliciosos de firma de transacciones.
  2. Atrajo a la víctima a la página phishing mediante alguna combinación de envenenamiento de motores de búsqueda, suplantación en redes sociales o un marcador comprometido.
  3. La víctima conectó su billetera a la página esperando gestionar su bóveda.
  4. La página phishing presentó una transacción para firmar que parecía ser una interacción rutinaria con la bóveda. La transacción era en realidad una transferencia de propiedad de la bóveda Maker a una dirección controlada por el atacante.
  5. La víctima firmó la transacción, creyéndola benigna.
  6. El atacante — ahora el propietario legítimo de la bóveda según el registro on-chain — retiró la posición entera de 55,47M DAI.

ZachXBT identificó la transacción anormal en horas y sacó a la luz el incidente públicamente. Para cuando estalló la noticia, 27,5M DAI ya habían sido intercambiados a ETH (~10.625 ETH) y enrutados a través de servicios de blanqueo.

Consecuencias

  • La víctima demandó a Coinbase por presuntamente negarse a congelar porciones de los fondos robados que pasaron brevemente por direcciones de Coinbase — una demanda disputada aún en curso a fecha de 2025.
  • La mayor parte del DAI robado fue convertido y blanqueado a través de Tornado Cash y servicios similares.
  • La infraestructura Inferno Drainer fue parcialmente cerrada a finales de 2023 y reactivada a lo largo de 2024 bajo varias operaciones sucesoras.

Por qué importa

El incidente del Día de Pago del Cazador de Ballenas es el caso de libro de texto de por qué el phishing-como-servicio se ha convertido en el vector de ataque dominante contra los poseedores cripto individuales. El modelo de negocio de Inferno Drainer:

  • Construir la infraestructura de phishing — imitaciones perfectas hasta el pixel de UIs DeFi, lógica de construcción de transacciones, rutas de pago multicadena.
  • Alquilarla a "afiliados" que manejan la adquisición de tráfico (SEO, social, secuestro de marcadores).
  • Llevarse un porcentaje de cada drenaje exitoso.

El resultado es que atacar a ballenas individuales se ha convertido en un proceso industrializado con bajo coste marginal por objetivo. Una ballena que mantenga $50M+ en una posición on-chain transparente es esencialmente un cartel para estas operaciones — visible para cualquiera que escrape datos on-chain públicos, con coste de ataque dramáticamente menor que el retorno esperado.

Las respuestas defensivas están bien documentadas y desigualmente adoptadas:

  • Firma con hardware wallet con verificación de calldata en pantalla — no dependas de la representación de la UI del dApp de lo que estás firmando.
  • Acceso solo por marcador a los front-ends DeFi — nunca hagas clic en resultados de búsqueda hasta llegar a un prompt de conexión de billetera.
  • Separación operativa por billetera — nunca mantengas capital significativo en la billetera usada para interacciones diarias.
  • Herramientas de simulación de transacciones (Pocket Universe, Wallet Guard, Blockaid) que previsualizan los efectos reales de firmar antes de confirmar.

El coste de subestimar estos riesgos es precisamente $55,47M, en el caso individual documentado aquí, con incidentes similares a menor escala ocurriendo diariamente a través del ecosistema cripto.

Fuentes y evidencia on-chain

  1. [01]rekt.newshttps://rekt.news/whale-hunters-payday
  2. [02]halborn.comhttps://www.halborn.com/blog/post/explained-55m-dollar-whale-phishing-hack-august-2024
  3. [03]theblock.cohttps://www.theblock.co/post/312326/hacking-55-million-dai-inferno-drainer

Registros relacionados