Ingeniería social, “ice phishing” y más formas en que los estafadores pueden vaciar tu billetera cripto

Los estafadores crearon en mayo, al menos, 7905 billeteras de blockchain para guardar las criptomonedas que roban a usuarios, según la empresa de seguridad de blockchain Forta Network.

Read this article in English.

Forta, que recientemente lanzó su propio token, opera una red de bots que detectan varios tipos de estafas en las blockchains Ethereum, Binance Smart Chain, Polygon, Optimism, Avalanche, Arbitrum y Fantom.

Cristian Seifert, un investigador de Forta que anteriormente trabajó en la división de investigación de seguridad de Microsoft, dijo a CoinDesk que los algoritmos de Forta pueden detectar varios tipos de comportamientos anormales al escanear transacciones en blockchains.

Sigue a CoinDesk en Español.

Algunas de esas anomalías son ataques a las billeteras de los usuarios.

Para algunos de los ataques, los estafadores recurren a la ingeniería social: exploran en busca de información personal del usuario o ponen en marcha trucos para conseguir que los usuarios de criptomonedas revelen sus contraseñas o frases semilla. Otros ataques solamente necesitan saber la dirección de la billetera de la víctima.

“Muchos ataques son de ingeniería social: los usuarios son atraídos a un sitio web que les pide que conecten su billetera, aparece una transacción, el usuario la aprueba y su dinero desaparece”, explicó Seifert.

El tipo de ataque más frecuente en mayo fue la técnica denominada “ice phishing”, que representó el 55,8% de todos los ataques registrados por Forta. A diferencia de los ataques de phishing más obvios o conocidos (ice phishing es un juego de palabras referido a los ataques de “phishing” más comunes que se ven en la web), este tipo de hackeo no tiene como objetivo directo la información privada de los usuarios.

En su lugar, un “ice phisher” engaña a la víctima para que firme una transacción maliciosa en la blockchain que abre el acceso a la billetera de la víctima para que el atacante pueda robar todo el dinero. En estos casos, las víctimas suelen ser atraídas a un sitio web de phishing diseñado para imitar los servicios de criptomonedas reales.

Estas estafas se basan en transacciones de “aprobación de tokens”, uno de los usos más comunes de las billeteras Web3 sin custodia que permiten a los usuarios conceder a los contratos inteligentes una cierta cantidad de acceso a sus monederos.

En su página de soporte, MetaMask, los creadores de la billetera de criptomonedas de Ethereum más popular, señaló que al conceder transacciones de aprobación de tokens, “tienes el control absoluto y la responsabilidad de todo lo que haces. Por eso es fundamental que sepas exactamente lo que estás firmando cuando confirmas aprobaciones de tokens”.

En una estafa similar a la mencionada anteriormente, los atacantes intentan engañar a los usuarios para que interactúen con diversas aplicaciones descentralizadas (dapps, por sus siglas en inglés), incluidos los exchanges descentralizados (DEX, por sus siglas en inglés). Estas estafas suelen crear la ilusión de una nueva oportunidad beneficiosa, como un airdrop de algún nuevo token, y se aprovechan de la tendencia común a caer en el FOMO, que en español significa miedo a perderse de algo, afirmó Seifert.

Sin embargo, en lugar de interactuar con un servicio legítimo, el usuario pierde el control sobre sus activos y los entrega a un atacante al firmar una transacción de aprobación de tokens.

“Los usuarios hacen clic, clic, clic, las transacciones aparecen –a menudo con un temporizador– y los usuarios las aprueban sin revisar”, agregó Seifert.

Según Seifert, hay dos pasos esenciales en el ice phishing: atraer a la víctima a un sitio web [malicioso] y crear una narrativa positiva.

“Una variante del ataque ice phishing consiste en engañar a los usuarios para que envíen directamente activos nativos al estafador. Esto se consigue firmando una función de ‘actualización de seguridad’ del contrato del estafador”, señaló Seifert, y añadió que normalmente se roban pequeñas cantidades de criptomonedas de esta forma.

Algunos ataques se dirigen a traders de tokens no fungibles (NFT, por sus siglas en inglés). Por ejemplo, los estafadores han desarrollado técnicas que aprovechan las peculiaridades de la infraestructura de NFT, como el protocolo Seaport introducido por OpenSea y utilizado en muchos mercados de NFT. Para vender NFT en Seaport, los usuarios crean órdenes de venta y firman una transacción que se emite localmente en la plataforma en lugar de hacerlo en la red de Ethereum para ahorrar dinero en comisiones de transacción.

Entonces, los atacantes indagan en busca de usuarios con NFT valiosos e intentan engañarlos para que aprueben transacciones que venderían sus valiosas tenencias a una fracción del precio de mercado.

Hoy en día, los traders de NFT suelen estar atentos a las muchas formas en que pueden ser hackeados. Algunos de los robos de criptomonedas más reconocidos de los últimos años han tenido como objetivo a influyentes figuras de los NFT, lo que ha dado lugar a ataques de phishing cada vez más selectivos y sofisticados.

Para el ataque de “envenenamiento de direcciones”, los atacantes estudian el historial de transacciones de las billeteras de sus víctimas y buscan las direcciones con las que más interactúan. Luego, crean una dirección de blockchain que resulte familiar a su objetivo y envían a la víctima una transacción de escaso o nulo valor. El objetivo de esta transacción es “envenenar” el historial de transacciones de la víctima al colocar la dirección maliciosa en un lugar donde pueda copiarla y pegarla por error cuando realice su próxima transacción.

Pero a menudo, los exploits más sencillos siguen siendo los más eficaces. Por ejemplo, Seifert dijo que los atacantes suelen utilizar marcas reconocidas cuando diseñan exploits de ingeniería social para ganarse la confianza o la atención de las víctimas. Ese fue el caso del token fraudulento tLINK que los titulares de Chainlink (LINK) recibieron a principios de junio cuando un atacante hizo un airdrop de un token supuestamente nuevo a los titulares de LINK.

Los estafadores incluyeron una oferta para que los usuarios canjearan tLINK por tokens LINK reales en un sitio web de phishing en el campo de descripción del token lanzado, explicó Seifert. Si hubieran aceptado la oferta, habrían caído.

Lo que hace que estos ataques sean más complicados es que los atacantes pueden asignar tokens ERC-20 fraudulentos a un contrato inteligente legítimo y luego ejecutar una función que transfiera esos tokens falsos a cualquiera que posea un token objetivo, según Forta. Esto hace que parezca que los usuarios recibieron una transferencia del contrato legítimo, pero no es más que una estafa.

Los ataques como este ni siquiera requieren mucho trabajo por parte de los atacantes, ya que lo único que necesitan saber sobre las víctimas son las direcciones de sus billeteras.

Debido a que los hackers y estafadores cada vez son más ingeniosos, es importante siempre prestar atención a las direcciones con las que interactúa tu billetera, aconsejó Seifert. Lo ideal sería que los monederos tuvieran funciones de seguridad incorporadas, dijo, y agregó que, por el momento, Forta proporciona su base de datos de direcciones fraudulentas a la billetera ZenGo.

Forta asigna a los monederos blockchain diferentes puntuaciones de riesgo en función de su implicación en posibles comportamientos fraudulentos, explicó Seifert.

“Tenemos un conjunto de bots de detección y modelos de aprendizaje automático que monitorean las transacciones en tiempo real y buscan condiciones y comportamientos específicos, por ejemplo, para contratos con líneas como ‘actualización de seguridad’ en su código”, aseguró.

Este artículo fue traducido por Natalia Paulovsky.