Cómo evitar caer en la trampa de los estafadores del “ice phishing” de criptomonedas, según CertiK
La empresa de seguridad blockchain CertiK le ha recordado a la comunidad de criptomonedas que se mantenga alerta ante las estafas de “ice phishing”, un tipo único de estafa de phishing dirigida a usuarios de Web3, identificada por primera vez por Microsoft a principios de este año.
En un informe de análisis del 20 de diciembre, CertiK describió las estafas de “ice phishing” como un ataque que engaña a los usuarios de Web3 para que firmen permisos que acaban permitiendo al estafador gastar sus tokens.
Esto difiere de los ataques de phishing tradicionales que intentan acceder a información confidencial como claves privadas o contraseñas, como los sitios web falsos que afirmaban que ayudarían a los inversores de FTX a recuperar sus fondos perdidos en el exchange.
1/ Ice phishing is a considerable threat to the Web3 community
Instead of gaining accessing to your private key, scammers trick you into signing permissions to spend your assets.
We’ll outline below what to look out for, and how to protect yourself!
— CertiK Alert (@CertiKAlert) December 20, 2022
#CertiKSkynetAlert
1/ El “Ice phishing” es una amenaza considerable para la comunidad de Web3. En lugar de acceder a tu clave privada, los estafadores te engañan para que firmes permisos para gastar tus activos. A continuación te explicamos qué debes tener en cuenta y cómo protegerte.
Una estafa del 17 de diciembre en la que se robaron 14 Bored Apes es un ejemplo de una elaborada estafa de ice phishing. Se convenció a un inversor para que firmara una solicitud de transacción disfrazada de contrato cinematográfico, lo que en última instancia le permitió al estafador venderse a sí mismo todos los simios del usuario por una cantidad insignificante.
La empresa señaló que este tipo de estafa era una “amenaza considerable” que solo se encuentra en el mundo de Web3, ya que a menudo se exige a los inversores que firmen permisos para los protocolos de finanzas descentralizadas (DeFi) con los que interactúan, y estos podrían falsificarse fácilmente.
“El hacker solo tiene que hacerle creer a un usuario que la dirección maliciosa a la que está concediendo la aprobación es legítima. Una vez que un usuario ha aprobado los permisos para que el estafador gaste los tokens, los activos corren el riesgo de ser drenados.”
Una vez que el estafador ha obtenido la aprobación, puede transferir los activos a una dirección de su elección.
Para protegerse del ice phishing, CertiK recomendó a los inversores revocar los permisos de las direcciones que no reconozcan en sitios exploradores de blockchain como Etherscan, utilizando una herramienta de aprobación de tokens.
Además, las direcciones con las que los usuarios planean interactuar deben buscarse en estos exploradores de blockchain para detectar actividades sospechosas. En su análisis, CertiK señala una dirección que fue financiada por retiros de Tornado Cash como ejemplo de actividad sospechosa.
CertiK también sugiere a los usuarios que solo interactúen con sitios oficiales que puedan verificar, y que desconfíen especialmente de sitios de redes sociales como Twitter, destacando como ejemplo una cuenta falsa de Optimism en Twitter.
La firma también aconsejó a los usuarios que se tomaran un par de minutos para comprobar sitios de confianza como CoinMarketCap o Coingecko; en caso de hacerlo, los usuarios podrían ver si la URL vinculada es o no un sitio legítimo.
El gigante tecnológico Microsoft fue el primero en destacar esta práctica en una entrada de su blog del 16 de febrero, diciendo en ese momento que mientras que el phishing de credenciales es muy predominante en el mundo Web2, el ice phishing les da a los estafadores individuales la capacidad de robar una parte de la criptoindustria mientras mantienen “un anonimato casi completo.”
Recomendaron que los proyectos Web3 y los proveedores de monederos aumenten la seguridad de sus servicios a nivel de software para evitar que la carga de evitar los ataques de ice phishing recaiga únicamente en el usuario final.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
Sigue leyendo:
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.