La empresa de seguridad blockchain CertiK le ha recordado a la comunidad de criptomonedas que se mantenga alerta ante las estafas de «ice phishing», un tipo único de estafa de phishing dirigida a usuarios de Web3, identificada por primera vez por Microsoft a principios de este año. 

En un informe de análisis del 20 de diciembre, CertiK describió las estafas de «ice phishing» como un ataque que engaña a los usuarios de Internet3 para que firmen permisos que acaban permitiendo al estafador gastar sus tokens.

Esto difiere de los ataques de phishing tradicionales que intentan acceder a información confidencial como claves privadas o contraseñas, como los sitios net falsos que afirmaban que ayudarían a los inversores de FTX a recuperar sus fondos perdidos en el trade.

Una estafa del 17 de diciembre en la que se robaron 14 Bored Apes es un ejemplo de una elaborada estafa de ice phishing. Se convenció a un inversor para que firmara una solicitud de transacción disfrazada de contrato cinematográfico, lo que en última instancia le permitió al estafador venderse a sí mismo todos los simios del usuario por una cantidad insignificante.

La empresa señaló que este tipo de estafa era una «amenaza significant» que solo se encuentra en el mundo de Website3, ya que a menudo se exige a los inversores que firmen permisos para los protocolos de finanzas descentralizadas (DeFi) con los que interactúan, y estos podrían falsificarse fácilmente.

“El hacker solo tiene que hacerle creer a un usuario que la dirección maliciosa a la que está concediendo la aprobación es legítima. Una vez que un usuario ha aprobado los permisos para que el estafador gaste los tokens, los activos corren el riesgo de ser drenados.”

Una vez que el estafador ha obtenido la aprobación, puede transferir los activos a una dirección de su elección.

Un ejemplo de cómo funciona un ataque de ice phishing en Etherscan. Fuente: Certik

Para protegerse del ice phishing, CertiK recomendó a los inversores revocar los permisos de las direcciones que no reconozcan en sitios exploradores de blockchain como Etherscan, utilizando una herramienta de aprobación de tokens.

Además, las direcciones con las que los usuarios planean interactuar deben buscarse en estos exploradores de blockchain para detectar actividades sospechosas. En su análisis, CertiK señala una dirección que fue financiada por retiros de Twister Hard cash como ejemplo de actividad sospechosa.

CertiK también sugiere a los usuarios que solo interactúen con sitios oficiales que puedan verificar, y que desconfíen especialmente de sitios de redes sociales como Twitter, destacando como ejemplo una cuenta falsa de Optimism en Twitter.

Cuenta falsa de Optimism en Twitter. Fuente: Certik

La firma también aconsejó a los usuarios que se tomaran un par de minutos para comprobar sitios de confianza como CoinMarketCap o Coingecko en caso de hacerlo, los usuarios podrían ver si la URL vinculada es o no un sitio legítimo.

El gigante tecnológico Microsoft fue el primero en destacar esta práctica en una entrada de su web site del 16 de febrero, diciendo en ese momento que mientras que el phishing de credenciales es muy predominante en el mundo Internet2, el ice phishing les da a los estafadores individuales la capacidad de robar una parte de la criptoindustria mientras mantienen «un anonimato casi completo.»

Recomendaron que los proyectos World-wide-web3 y los proveedores de monederos aumenten la seguridad de sus servicios a nivel de software para evitar que la carga de evitar los ataques de ice phishing recaiga únicamente en el usuario final.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Noticias Blockchain. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión

Sigue leyendo:

Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto overall invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.

Share.
Leave A Reply