Un exploit de phishing roba 3 millones de dólares en USDC de una wallet multifirma

• Un inversor pierde $3 millones en un ataque de phishing
• El exploit utilizó un contrato malicioso disfrazado y verificado
• Request Finance confirma el uso de una versión falsa del contrato

Un inversor de criptomonedas perdió más de $3 millones en stablecoins tras ser víctima de un sofisticado ataque de phishing que explotó una wallet multifirma. El caso fue revelado el 11 de septiembre por el investigador onchain ZachXBT, quien señaló que la wallet de la víctima fue vaciada de $3.047 millones en USDC.

El atacante convirtió rápidamente los fondos a Ethereum y los redirigió a Tornado Cash, un protocolo de privacidad utilizado frecuentemente para ocultar el movimiento de fondos ilícitos.

Según Yu Xian, fundador de SlowMist, la dirección comprometida era una Safe multifirma 2-de-4. El ataque ocurrió después de que la víctima autorizara dos transacciones consecutivas a una dirección fraudulenta que imitaba la legítima. Para aumentar la efectividad de la estafa, el hacker desarrolló un contrato malicioso en el que el primer y último carácter de la dirección coincidían con los de la correcta, haciendo que el fraude fuera difícil de detectar.

Xian explicó que la estafa utilizó la función Safe Multi Send, disfrazando la aprobación maliciosa dentro de una autorización aparentemente rutinaria. "Esta autorización anormal era difícil de detectar porque no era una aprobación estándar", dijo.

He revisado el caso de robo publicado por @zachxbt, es interesante, la dirección robada es una dirección Safe multifirma 2/4:
0xE7c15D929cdf8c283258daeBF04Fb2D9E403d139

Los 3.047.700 USDC robados corresponden a estas dos transacciones, una tras otra:
3M USD
47.700 USDC

Se trata de un robo por autorización, el USDC de la víctima… pic.twitter.com/KQPYxGvugP

— Cos(余弦)😶‍🌫️ (@evilcos) 12 de septiembre de 2025

La investigación de Scam Sniffer reveló que el contrato falso había sido desplegado casi dos semanas antes, ya verificado en Etherscan, y configurado con funciones de "pago por lotes" para parecer legítimo. El día del ataque, la autorización se ejecutó a través de la interfaz de Request Finance, dando al atacante acceso a los fondos.

En respuesta, Request Finance confirmó que un actor malicioso había desplegado una versión falsificada de su contrato de pagos. La empresa enfatizó que solo un cliente se vio afectado y que la vulnerabilidad ya ha sido corregida.

🚨 Una víctima perdió $3.047M USDC ayer a través de un ataque sofisticado que involucró un contrato falso de Request Finance en una wallet Safe.

Hallazgos clave:
• La wallet multifirma 2/4 de la víctima muestra transacciones por lotes a través de la interfaz de la app Request Finance
• Oculto dentro: aprobación a un contrato malicioso… pic.twitter.com/U9UNfYNZhv

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 12 de septiembre de 2025

Aun así, Scam Sniffer advirtió que ataques de phishing similares pueden ser orquestados a través de una variedad de vectores, incluyendo malware, extensiones de navegador comprometidas, fallos en los front-ends de aplicaciones o incluso secuestro de DNS. El uso de contratos aparentemente verificados y direcciones casi idénticas refuerza cómo los atacantes están perfeccionando sus tácticas para eludir la atención de los usuarios de criptomonedas.