Un usuario de Ethereum pierde 440.358 $ en USDC tras un exploit malicioso de permisos

Fuente: CryptoNewsNet Título original: Un usuario de Ethereum pierde 440.358 $ en USDC tras un exploit malicioso de permit Enlace original: Un usuario de criptomonedas perdió 440.358 $ en USD Coin [image]USDC( en Ethereum tras aprobar sin saberlo una firma “permit” fraudulenta que permitió a un atacante vaciar su cartera, según confirmó la plataforma de seguridad Web3 Scam Sniffer.

La víctima, que utilizaba la dirección de cartera 0x67E8561Ba9d3f4CBe5fEd4C12c95b54f073a0605, aprobó una transacción maliciosa que concedía al atacante plenos derechos de gasto. Scam Sniffer detectó que los fondos fueron enviados a dos direcciones diferentes etiquetadas como 0xbb4…666f682aF y 0x6a3aF6…d8F9a00B.

Atacante de phishing autoriza la transferencia de )USDC( de la víctima

Según los datos de la blockchain de Etherscan, el atacante se valió de una transacción “permit”, un tipo de firma que transfiere tokens sin requerir que el propietario los confirme manualmente. Aunque no parezca que se mueve dinero en el momento de la firma, el atacante puede rellenar posteriormente la cantidad y cobrarla sin más consentimiento; en este caso, se rellenaron 440.358 $.

Una vez aprobada, el atacante realizó varias llamadas “transferFrom” utilizando el contrato FiatTokenProxy, que gestiona las transacciones de USDC. Alrededor de las 10:00 UTC del lunes, se enviaron 22.000 USDC a una cuenta “Fake Phishing”, 66,06K $ a la dirección 0xbb4223Ef4cCe93fB40beb62178aBE9A666f682aF y 352,3K $ a 0x6a3aF6Cb51D52F32D2A0A6716a8EFF99d8F9a00B simultáneamente.

Scam Sniffer también informó de otro incidente de phishing el 7 de noviembre, cuando otro usuario perdió 1,22 millones de USDC y un token PlaUSDT0 apenas 30 minutos después de firmar mensajes de permit fraudulentos.

El informe de phishing de noviembre de la empresa de seguridad Web3 muestra que las pérdidas totales alcanzaron los 7,77 millones de dólares, un aumento del 1137% respecto a los 3,28 millones de octubre. A pesar del aumento de las pérdidas, el número de víctimas disminuyó un 42%, ya que noviembre registró 6.344 usuarios afectados, un 42% menos que las 10.935 víctimas contabilizadas el mes anterior.

Hace casi una semana, algunos hackers utilizaron el “address poisoning” para robar 1,1 millones de USDT en Ethereum. Según Kyle Soska, CIO de Ramiel Capital, el grupo monitorizaba pequeñas transferencias salientes de carteras de ballenas y luego utilizaba sistemas impulsados por GPU para generar direcciones casi idénticas.

“En este caso, el atacante envía una transacción de tether muy pequeña a la víctima en la cadena para que la dirección similar aparezca en la lista de actividad reciente de la cartera web3 de la víctima. La víctima entonces elige accidentalmente esta dirección para enviar una gran suma de dinero”, explicó Soska.

La temporada de compras navideñas inundada de estafas de suplantación de identidad

El aumento del phishing relacionado con criptomonedas coincide con el repunte de las estafas digitales en la temporada de compras navideñas. Darktrace, una empresa de ciberseguridad que rastrea tendencias mundiales de phishing a consumidores, informó de un aumento del 201% en estafas de “suplantación” de grandes minoristas estadounidenses durante la semana previa a Acción de Gracias, en comparación con la misma semana de octubre.

Los emails suplantando a Macy’s, Walmart y Target aumentaron un 54% en una sola semana, pero Amazon fue la compañía más suplantada en general, representando el 80% de los intentos de phishing, más que marcas digitales como Apple, Alibaba y Netflix.

Solo a principios de noviembre, Kaspersky detectó 146.535 correos spam haciendo referencia a descuentos de temporada, incluidos 2.572 relacionados con campañas del Día del Soltero. Muchos de estos mensajes reutilizaban plantillas comprobadas de años anteriores, con estafadores imitando a Amazon, Walmart y Alibaba para anunciar ventas de acceso anticipado que redirigían a los usuarios a páginas de pago falsas para robar credenciales y ejecutar aprobaciones maliciosas.

Los datos de Kaspersky Security Network )KSN$440K muestran que entre enero y octubre, la empresa bloqueó 6.394.854 intentos de phishing dirigidos a tiendas online, bancos y sistemas de pago. Casi la mitad de estos intentos, el 48,2%, se dirigieron específicamente a compradores online.

Durante el mismo periodo, Kaspersky identificó más de 20 millones de ataques a plataformas de juegos, incluidos 18,56 millones que abusaban de Discord, que según la empresa es un punto de distribución de archivos maliciosos disfrazados de software de juegos.

Las plataformas de entretenimiento también fueron intensamente atacadas, con 801.148 intentos de phishing relacionados con Netflix y 576.873 con Spotify registrados en 2025. La empresa también documentó 2.054.336 intentos de phishing suplantando a plataformas de juego como Steam, PlayStation y Xbox.

Además, Kaspersky registró 20.188.897 intentos de infección de malware disfrazados de “software común”, siendo Discord responsable de la mayoría con 18.556.566 detecciones, más de 14 veces superiores a los incidentes reportados el año pasado.