Lo que un ataque de 440.000 US$ revela sobre la creciente amenaza de las estafas de "permiso" en Ethereum

¡image

Fuente: PortaldoBitcoin Título original: Lo que un ataque de 440.000 $ revela sobre la creciente amenaza de estafas de “permiso” en Ethereum Enlace original: Un hacker robó más de 440.000 $ en USDC después de que el propietario de una cartera firmara, sin saberlo, una firma maliciosa de “permiso”, según un tuit de Scam Sniffer el lunes (8).

El robo se produce en medio de un aumento de las pérdidas por phishing. Unos 7,77 millones de dólares se perdieron de más de 6.000 víctimas en noviembre, según el informe mensual de Scam Sniffer, lo que representa un aumento del 137 % en las pérdidas totales respecto a octubre, incluso con una caída del 42 % en el número de víctimas.

“La caza de ballenas se ha intensificado, con una pérdida máxima de 1,22 millones de dólares (firma de permiso). A pesar de la reducción en el número de ataques, las pérdidas individuales aumentaron significativamente”, observó la empresa.

¿Qué son las estafas de permiso?

Las estafas basadas en permisos consisten en engañar a los usuarios para que firmen una transacción que parece legítima, pero que en realidad concede al atacante el derecho a gastar sus tokens. Aplicaciones descentralizadas (dapps) maliciosas pueden disfrazar campos, falsificar nombres de contratos o presentar la solicitud de firma como algo rutinario.

Si un usuario no examina los detalles cuidadosamente, firmar la solicitud concede al atacante permiso para acceder a todos los tokens ERC-20 del usuario. Una vez concedido el permiso, los estafadores suelen drenar los fondos de inmediato.

El método explota la función de permiso de Ethereum, que fue diseñada para facilitar las transferencias de tokens, permitiendo a los usuarios delegar derechos de gasto a aplicaciones de confianza. Esta comodidad se convierte en una vulnerabilidad cuando estos derechos se conceden a un atacante.

“Lo que resulta especialmente complicado en este tipo de ataque es que los atacantes pueden realizar el permiso y la transferencia de tokens en una sola transacción (un enfoque de tipo ‘smash and grab’), o pueden concederse acceso mediante el permiso y luego permanecer inactivos, esperando transferir fondos añadidos posteriormente (siempre que establezcan un plazo de acceso suficientemente largo en los metadatos de la función de permiso)”, dijo Tara Annison, jefa de producto de Twinstake.

“El éxito de este tipo de estafa depende de que firmes algo sin entender completamente lo que va a suceder”, dijo, y añadió: “Todo se reduce a la vulnerabilidad humana y a aprovecharse de la ingenuidad de las personas”.

Annison añadió que este incidente está lejos de ser un caso aislado. “Hay muchos ejemplos de estafas de phishing de gran valor y volumen, creadas para engañar a los usuarios y llevarles a firmar algo que no comprenden del todo. A menudo, estas estafas se disfrazan de distribuciones gratuitas de dinero, páginas de destino falsas de proyectos para conectar su cartera o alertas de seguridad fraudulentas para verificar si has sido afectado”, añadió.

Cómo protegerse

Los proveedores de carteras digitales han implementado más funciones de protección. MetaMask, por ejemplo, alerta a los usuarios si un sitio parece sospechoso e intenta traducir los datos de la transacción a un lenguaje comprensible para humanos. Otras carteras también destacan acciones de alto riesgo. Pero los estafadores siguen adaptándose.

Harry Donnelly, fundador y CEO de Circuit, dijo que los ataques del tipo “permit” son “bastante comunes” y aconsejó a los usuarios que verifiquen las direcciones de los remitentes y los detalles del contrato.

“Esta es la forma más clara de saber si el protocolo no coincide con el destino real de los fondos, ya que probablemente alguien intenta robártelos”, dijo. “Puedes comprobar el valor; muchas veces intentan conceder aprobaciones ilimitadas, como esta”.

Annison recalcó que la vigilancia sigue siendo la mejor defensa de los usuarios. “La mejor manera de protegerse de estafas del tipo ‘permit’, ‘applianceAll’ o ‘transferFrom’ es asegurarse de que sepas lo que estás firmando. ¿Qué acciones se realizarán realmente en la transacción? ¿Qué funciones se están usando? ¿Corresponden a lo que creías que ibas a firmar?”

“Muchas carteras y aplicaciones descentralizadas (dapps) han mejorado sus interfaces de usuario para asegurarse de que no firmes nada a ciegas y puedas ver el resultado, además de mostrar advertencias sobre funciones de alto riesgo. Sin embargo, es importante que los usuarios comprueben activamente lo que están firmando y no simplemente conecten su cartera y hagan clic en firmar”, añadió.

Una vez robados, la recuperación de los fondos es improbable. Martin Derka, cofundador y líder técnico de Zircuit Finance, dijo que las posibilidades de recuperar los fondos son “prácticamente nulas”.

“En los ataques de phishing, te enfrentas a un individuo cuyo único objetivo es robar tus fondos. No hay negociación, ni punto de contacto y, a menudo, ninguna idea de quién es la otra parte”, dijo.

“Estos atacantes juegan con los números”, añadió Derka, señalando que “una vez que el dinero se ha ido, se ha ido para siempre. La recuperación es esencialmente imposible”.