Un fallo de experiencia de usuario vuelve a poner en jaque la seguridad en wallets
Una función de mensajería integrada en la wallet Phantom ha quedado en el centro del debate tras una estafa de phishing que provocó la pérdida de unos USD 264.000 en Wrapped Bitcoin (WBTC). Investigadores apuntan a un caso clásico de address poisoning, una técnica que no compromete claves privadas, pero explota el historial de transacciones del usuario.
La transacción sospechosa y la alerta on-chain
El investigador blockchain ZachXBT compartió datos que muestran la transferencia de 3,5 WBTC desde la dirección “0x85c” hacia “0x4b7”. La operación fue marcada como de alto saldo por la plataforma de inteligencia Nansen, un patrón consistente con address poisoning: el atacante envía pequeñas cantidades para “contaminar” el historial y provocar que la víctima copie una dirección falsa.
Críticas a Phantom Chat y más víctimas reportadas
ZachXBT instó a Phantom a mejorar su interfaz, advirtiendo que el chat integrado podría convertirse en “un nuevo método para vaciar wallets” si no filtra transacciones spam. Además, el usuario de X Kill4h reportó dos pérdidas adicionales (USD 136 y USD 101 en USDC) vinculadas a la misma función.
Llamadas de la industria a reforzar la seguridad
La industria volvió a reclamar medidas preventivas. El cofundador de Binance, Changpeng Zhao, pidió bloquear direcciones “envenenadas” y ocultar transacciones de bajo valor para evitar confusiones. Equipos de seguridad como Hacken recomiendan usar libretas de direcciones como única fuente de verdad y evitar copiar desde el historial. Desde Cyvers, su CEO subrayó la necesidad de alertas pre-transacción, detección de similitud de direcciones y advertencias claras antes de firmar.
Respuesta de Phantom y buenas prácticas
Phantom recordó a los usuarios que asuman como maliciosos tokens o NFTs no solicitados y que no hagan clic en enlaces de supuestos airdrops. La compañía lanzó su chat en diciembre y fue consultada sobre posibles mejoras de UI y filtros anti-spam.
Conclusión
El incidente refuerza una lección conocida: la UX es seguridad. Sin filtros, simulaciones previas y detección de direcciones sospechosas, incluso usuarios experimentados pueden caer en address poisoning. La adopción de controles preventivos y hábitos estrictos es clave para reducir pérdidas.
