La empresa de seguridad Blockchain CertiK ha recordado a la criptocomunidad que se mantenga alerta sobre las estafas de «phishing de hielo», un tipo único de estafa de phishing dirigida a los usuarios de Website3, identificada por primera vez por Microsoft a principios de este año.
En un informe de análisis del 20 de diciembre, CertiK describió las estafas de phishing de hielo como un ataque que engaña a los usuarios de Net3 para que firmen permisos que terminan permitiendo que un estafador gaste sus tokens.
Esto difiere de los ataques de phishing tradicionales que intentan acceder a información confidencial, como claves privadas o contraseñas, como los sitios internet falsos que afirman ayudar a los inversores de FTX a recuperar los fondos perdidos en el intercambio.
1/ El phishing de hielo es una amenaza substantial para la comunidad Website3
En lugar de obtener acceso a su clave privada, los estafadores lo engañan para que firme permisos para gastar sus activos.
¡Describiremos a continuación lo que debe tener en cuenta y cómo protegerse!
— Alerta CertiK (@CertiKAlert) 20 de diciembre de 2022
Una estafa del 17 de diciembre en la que se robaron 14 Bored Apes es un ejemplo de una elaborada estafa de phishing de hielo. Se convenció a un inversor para que firmara una solicitud de transacción disfrazada de contrato cinematográfico, lo que finalmente permitió al estafador venderse todos los simios del usuario por una cantidad insignificante.
La firma señaló que este tipo de estafa era una «amenaza significant» que se encuentra solo en el mundo World wide web3, ya que a menudo se requiere que los inversores firmen permisos para los protocolos de finanzas descentralizadas (DeFi) con los que interactúan, que podrían falsificarse fácilmente.
“El hacker solo necesita hacer creer al usuario que la dirección maliciosa a la que está dando su aprobación es legítima. Una vez que un usuario ha aprobado los permisos para que el estafador gaste tokens, los activos corren el riesgo de agotarse».
Una vez que un estafador ha obtenido la aprobación, puede transferir activos a una dirección de su elección.
Para protegerse del phishing de hielo, CertiK recomendó que los inversores revocaran los permisos de las direcciones que no reconocen en los sitios de exploración de blockchain como Etherscan, utilizando una herramienta de aprobación de tokens.
Relacionado: El cofundador de la estafa $ 4B OneCoin se declara culpable y enfrenta 60 años de cárcel
Además, las direcciones con las que los usuarios planean interactuar deben buscarse en estos exploradores de blockchain en busca de actividad sospechosa. En su análisis, CertiK señala una dirección que fue financiada con retiros de Tornado Cash como ejemplo de actividad sospechosa.
CertiK también sugirió que los usuarios solo deberían interactuar con sitios oficiales que puedan verificar, y que sean particularmente cautelosos con los sitios de redes sociales como Twitter, destacando una cuenta falsa de Optimism Twitter como ejemplo.
La empresa también aconsejó a los usuarios que se tomaran un par de minutos para consultar un sitio confiable como CoinMarketCap o Coingecko, los usuarios habrían podido ver que la URL vinculada no era un sitio legítimo y debería evitarse.
El gigante tecnológico Microsoft fue el primero en destacar esta práctica en una publicación de weblog del 16 de febrero, y dijo en ese momento que, si bien el phishing de credenciales es muy predominante en el mundo Net2, el phishing de hielo brinda a los estafadores individuales la capacidad de robar una parte de la criptoindustria. mientras mantiene «casi completo anonimato».
Recomendaron que los proyectos de Internet3 y los proveedores de billeteras aumenten la seguridad de sus servicios a nivel de software para evitar que la carga de evitar los ataques de phishing de hielo recaiga únicamente en el usuario remaining.