Crypto news

24.06.2026
12:08

Compra de BTC a través de Trust Wallet y MoonPay: las monedas desaparecieron sin dejar rastro: análisis del incidente

Un usuario de Reddit con el nombre Smart-Rip5467 se enfrentó a una situación alarmante que vuelve a plantear preguntas sobre la seguridad de las soluciones no custodiales. Después de comprar bitcoin a través del servicio integrado MoonPay en la aplicación Trust Wallet, las monedas no llegaron a su billetera, sino que se enviaron a una dirección completamente desconocida. La cantidad no es crítica: 0,00387670 BTC, pero el precedente en sí mismo causa una gran preocupación.

Según los datos de la cadena de bloques, la transacción se registró el 19 de junio de 2026. El 21 de junio, toda la cantidad se transfirió a una segunda dirección. Es notable que el explorador de la cadena de bloques marcó esta operación como "posible transferencia a uno mismo". Sin embargo, como he señalado repetidamente en mi análisis, estas etiquetas son solo una suposición algorítmica, no una prueba. Pueden reflejar tanto un movimiento legítimo de fondos entre billeteras propias como el funcionamiento de una billetera comprometida o las acciones de un atacante.

¿Cuál es el verdadero problema?

La principal pregunta que atormenta al usuario: ¿a quién pertenecen realmente estas direcciones? Él afirma que no ingresó la dirección del destinatario manualmente. Este es un punto crítico. En las billeteras no custodiales, como Trust Wallet, la responsabilidad del control sobre las direcciones recae completamente en el usuario. Si los fondos se fueron "a otro lado", son posibles dos escenarios principales:

  • Compromiso de la frase semilla o la clave privada, lo que le dio al atacante acceso para controlar la billetera.
  • Fallo o suplantación de la dirección por parte de la integración con MoonPay, lo cual es poco probable, pero técnicamente posible.

La comunidad de Reddit, en particular el usuario Critical-Ad6184, propuso un algoritmo claro de verificación: restaure la billetera a partir de la frase de respaldo en un entorno aislado y seguro, y verifique si la cantidad "perdida" aparece allí. Si no es así, los fondos están fuera de su control. También vale la pena solicitar a MoonPay o Trust Wallet la confirmación de la dirección de pago según el número de pedido. Y lo más importante: nunca y a nadie le revele su frase semilla, clave privada o clave pública extendida (xpub), especialmente en exploradores de cadenas de bloques o chats de soporte.

Conclusiones y recomendaciones

Este incidente no es solo un caso aislado, sino un poderoso recordatorio de los principios fundamentales de seguridad en DeFi. Incluso las billeteras más populares no lo protegen de errores de entrada o compromiso de claves. Mi consejo profesional: siempre verifique la dirección del destinatario antes de confirmar la transacción, use billeteras de hardware para grandes cantidades y guarde la frase semilla fuera de línea, en un lugar seguro. La tecnología de la cadena de bloques no perdona la falta de atención.