Los estafadores utilizan una variedad de técnicas para robar el dinero de los usuarios, algunas de las cuales solo requieren conocer la dirección de su billetera, dijo un investigador de Forta Network.
Los estafadores crearon al menos 7.905 billeteras blockchain en mayo para recolectar criptomonedas que roban a usuarios comunes, según Forta Network, una empresa de seguridad blockchain.
Forta, que lanzó recientemente su propio token, opera una red de bots que detectan varios tipos de estafas en las cadenas de bloques Ethereum, Binance Smart Chain, Polygon, Optimism, Avalanche, Arbitrum y Fantom.
Christian Seifert, investigador residente de Forta que anteriormente trabajó en la división de investigación de seguridad de Microsoft, dijo a CoinDesk que los algoritmos de Forta pueden detectar varios tipos de comportamiento anómalo mientras escanean transacciones en blockchains.
Algunas de esas anomalías son ataques a las billeteras de los usuarios.
Para algunos de los ataques, los estafadores se basan en la ingeniería social: husmeando en busca de información personal del usuario o implementando trucos para lograr que los usuarios de criptomonedas revelen sus contraseñas o frases iniciales. Otros ataques sólo requieren conocer la dirección de la billetera de la víctima.
Ver también: Llamar a un hack un exploit minimiza el error humano | Opinión
"Muchos ataques son ataques de ingeniería social: los usuarios son atraídos a un sitio web, un sitio web les pide que conecten su billetera, aparece una transacción, un usuario la aprueba y su dinero desaparece", dijo Seifert.
'phishing en hielo'
El tipo de ataque más frecuente en mayo fue la técnica denominada “ice phishing”, que representó el 55,8% de todos los ataques registrados por Forta. A diferencia de los ataques de phishing más obvios o conocidos (el phishing en hielo es un juego de los ataques de “phishing” más comunes que se ven en la Web), este tipo no apunta directamente a la información privada de los usuarios.
En cambio, un phisher de hielo engaña a la víctima para que firme una transacción blockchain maliciosa que abre el acceso a la billetera de la víctima para que el atacante pueda robar todo el dinero. En tales casos, las víctimas suelen ser atraídas a un sitio web de phishing diseñado para imitar servicios criptográficos reales.
Estas estafas se basan en transacciones de "aprobación de tokens", uno de los usos más comunes de las billeteras Web3 sin custodia que permiten a los usuarios otorgar a los contratos inteligentes una cierta cantidad de acceso a sus billeteras.
En su página de soporte, MetaMask, los creadores de la billetera criptográfica Ethereum más popular señalan que al otorgar transacciones de aprobación de tokens "usted tiene el control firme y tiene la responsabilidad final de todo lo que hace. Por eso es fundamental que sepa exactamente lo que está haciendo". registrarse para cuando confirme las aprobaciones de tokens".
En una estafa similar a la mencionada anteriormente, los atacantes intentan engañar a los usuarios para que interactúen con varias aplicaciones descentralizadas (dapps), incluidos los intercambios descentralizados (DEX). Estos esquemas a menudo crean la ilusión de una nueva oportunidad lucrativa, como el lanzamiento aéreo de algún token nuevo, y explotan la tendencia común a caer en FOMO, o el miedo a perderse algo, dijo Seifert.
Sin embargo, en lugar de interactuar con un servicio legítimo, un usuario pierde el control de sus activos ante un atacante al firmar una transacción de aprobación simbólica.
"Los usuarios hacen clic, hacen clic, hacen clic y aparecen transacciones, a menudo con un temporizador, y los usuarios las aprueban sin verificar", dijo Seifert.
Según Seifert, hay dos pasos cruciales para el phishing: “atraer a la víctima a un sitio web [malicioso] y crear una narrativa positiva.
“Una variación del ataque de phishing en hielo consiste en engañar a los usuarios para que envíen activos nativos directamente al estafador. Esto se logra firmando una función de 'actualización de seguridad' del contrato del estafador”, dijo Seifert, y agregó que, por lo general, de esta manera se roban pequeñas cantidades de criptomonedas.
NFT, lanzamientos aéreos y envenenamiento de direcciones
Algunos ataques se dirigen a comerciantes de tokens no fungibles (NFT). Por ejemplo, los estafadores han desarrollado técnicas que aprovechan las peculiaridades de la infraestructura NFT, como el protocolo Seaport introducido por OpenSea y utilizado en muchos mercados NFT. Para vender NFT en Seaport, los usuarios crean órdenes de venta firmando una transacción que se transmite localmente en la plataforma, en lugar de en la red Ethereum más amplia, para ahorrar dinero en tarifas de transacción.
Los atacantes husmean en busca de usuarios con NFT valiosas e intentan engañarlos para que aprueben transacciones que venderían sus valiosas participaciones a una fracción del precio de mercado.
Los comerciantes de NFT hoy en día suelen ser conscientes de las muchas formas en que se pueden explotar. Algunos de los atracos de criptomonedas de más alto perfil de los últimos años se han dirigido a figuras influyentes de NFT. Esto ha dado lugar a ataques de phishing cada vez más específicos y sofisticados.
Para el ataque de “envenenamiento de direcciones”, los atacantes estudian el historial de transacciones de las billeteras de sus víctimas y buscan las direcciones con las que interactúan más. Luego crean una dirección de blockchain que le resultará familiar a su objetivo y envían a la víctima una transacción con poco o ningún valor. Esta transacción tiene como objetivo "envenenar" el historial de transacciones de la víctima colocando la dirección maliciosa en un lugar donde puedan copiarla y pegarla por error cuando realicen su próxima transacción.
Pero a menudo, las hazañas más simples siguen siendo efectivas. Por ejemplo, Seifert dijo que los atacantes suelen utilizar marcas reconocibles cuando diseñan exploits de ingeniería social que se ganan la confianza o la atención de las víctimas. Ese fue el caso del token tLINK fraudulento que los titulares de Chainlink (LINK) recibieron a principios de junio, cuando un atacante lanzó por aire un token supuestamente nuevo a los titulares de LINK.
Los estafadores incluyeron una oferta para que los usuarios intercambiaran tLINK por tokens LINK reales en un sitio web de phishing en el campo de descripción del token lanzado desde el aire, dijo Seifert. Y si hubieran aceptado esa oferta, se habrían quemado.
Lo que hace que estos ataques sean más complicados es que los atacantes pueden asignar tokens ERC-20 fraudulentos a un contrato inteligente legítimo y luego ejecutar una función que transfiere esos tokens falsos a cualquiera que tenga un token objetivo, según Forta. Esto hace que parezca que los usuarios recibieron un lanzamiento aéreo del contrato legítimo, cuando no es más que una estafa.
Ver también: Prevención de ataques y explotaciones criptográficas en 2023
Ataques como ese ni siquiera requieren mucho trabajo de reconocimiento por parte de los atacantes: todo lo que necesitan saber sobre las víctimas son las direcciones de sus billeteras.
Higiene de las transacciones
Dado que los piratas informáticos y los estafadores son cada vez más trabajadores, es importante prestar siempre atención a las direcciones con las que interactúa su billetera, dijo Seifert. Idealmente, las billeteras deben tener características de seguridad integradas, dijo, y agregó que en este momento, Forta proporciona su base de datos de direcciones fraudulentas a la billetera ZenGo.
Forta asigna a las carteras blockchain diferentes puntuaciones de riesgo en referencia a su participación en posibles comportamientos fraudulentos, dijo Seifert.
