Un exploit de phishing roba 3 millones de dólares en USDC de una billetera multifirma

• Inversor pierde $3 millones en ataque de phishing
• El exploit utilizó un contrato malicioso disfrazado y verificado
• Request Finance confirma el uso de una versión falsa del contrato

Un inversor de criptomonedas perdió más de $3 millones en stablecoins tras ser víctima de un ataque de phishing altamente sofisticado que explotó una billetera multisig. El caso fue revelado el 11 de septiembre por el investigador onchain ZachXBT, quien señaló que la billetera de la víctima fue vaciada de $3,047 millones en USDC.

El atacante rápidamente convirtió los fondos a Ethereum y los redirigió a Tornado Cash, un protocolo de privacidad que suele utilizarse para ocultar el movimiento de fondos ilícitos.

Según Yu Xian, fundador de SlowMist, la dirección comprometida era una multisig Safe 2-de-4. El ataque ocurrió después de que la víctima autorizara dos transacciones consecutivas a una dirección fraudulenta que imitaba a la legítima. Para aumentar la efectividad de la estafa, el hacker desarrolló un contrato malicioso en el que el primer y último carácter de la dirección coincidían con la correcta, haciendo que el fraude fuera difícil de detectar.

Xian explicó que la estafa utilizó la función Safe Multi Send, disfrazando la aprobación maliciosa dentro de una autorización aparentemente rutinaria. "Esta autorización anormal era difícil de detectar porque no era una aprobación estándar", comentó.

Miré el caso de robo publicado por @zachxbt, es interesante, la dirección robada es una dirección multisig Safe 2/4:
0xE7c15D929cdf8c283258daeBF04Fb2D9E403d139

Los 3,047,700 USDC robados corresponden a estas dos transacciones, una tras otra:
3M USD
47,700 USDC

Se trata de una autorización robada, el USDC de la víctima… pic.twitter.com/KQPYxGvugP

— Cos(余弦)😶‍🌫️ (@evilcos) 12 de septiembre de 2025

La investigación de Scam Sniffer reveló que el contrato falso había sido desplegado casi dos semanas antes, ya verificado en Etherscan, y configurado con funciones de "pago por lotes" para parecer legítimo. El día del ataque, la autorización se ejecutó a través de la interfaz de Request Finance, dando al atacante acceso a los fondos.

En respuesta, Request Finance confirmó que un actor malicioso había desplegado una versión falsificada de su contrato de pagos. La empresa enfatizó que solo un cliente fue afectado y que la vulnerabilidad ya fue corregida.

🚨 Una víctima perdió $3.047M USDC ayer a través de un ataque sofisticado que involucró un contrato falso de Request Finance en una billetera Safe.

Hallazgos clave:
• La billetera multisig Safe 2/4 de la víctima muestra transacciones por lotes vía la interfaz de la app Request Finance
• Oculto dentro: aprobación a un contrato malicioso… pic.twitter.com/U9UNfYNZhv

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 12 de septiembre de 2025

Aun así, Scam Sniffer advirtió que ataques de phishing similares pueden ser orquestados a través de una variedad de vectores, incluyendo malware, extensiones de navegador comprometidas, fallas en los front-ends de aplicaciones o incluso secuestro de DNS. El uso de contratos aparentemente verificados y direcciones casi idénticas refuerza cómo los atacantes están perfeccionando sus tácticas para eludir la atención de los usuarios de criptomonedas.