Lo que un ataque de 440.000 US$ revela sobre la creciente amenaza de las estafas de "permiso" en Ethereum

Fuente: PortaldoBitcoin Título original: Lo que revela un ataque de US$ 440 mil sobre la creciente amenaza de fraudes de “permiso” en Ethereum Enlace original: Un hacker robó más de US$ 440.000 en USDC después de que el dueño de una cartera firmara, sin saberlo, una firma maliciosa de “permiso”.

El robo ocurre en medio de un aumento en las pérdidas por phishing. Aproximadamente US$ 7,77 millones se perdieron de más de 6.000 víctimas en noviembre, lo que representa un aumento del 137% en las pérdidas totales en comparación con octubre, a pesar de la caída del 42% en el número de víctimas.

“La caza de ballenas se intensificó, con un perjuicio máximo de US$ 1,22 millones (firma de permiso). A pesar de la reducción en el número de ataques, las pérdidas individuales aumentaron significativamente”.

¿Qué son los fraudes de permiso?

Los fraudes basados en permisos consisten en engañar a los usuarios para que firmen una transacción que parece legítima, pero que en realidad otorga al atacante el derecho de gastar sus tokens. Las aplicaciones descentralizadas (dapps) maliciosas pueden disfrazar campos, falsificar nombres de contratos o presentar la solicitud de firma como algo rutinario.

Si un usuario no examina los detalles cuidadosamente, firmar la solicitud concede al atacante permiso para acceder a todos los tokens ERC-20 del usuario. Una vez concedido el permiso, los estafadores generalmente drenan los fondos de inmediato.

El método explota la función de permiso de Ethereum, que fue diseñada para facilitar las transferencias de tokens, permitiendo a los usuarios delegar derechos de gasto a aplicaciones confiables. Esta conveniencia se vuelve una vulnerabilidad cuando estos derechos se conceden a un atacante.

“Lo que es particularmente complicado en este tipo de ataque es que los atacantes pueden realizar la autorización y la transferencia de tokens en una sola transacción (una estrategia de ‘golpe y huida’) o pueden obtener acceso mediante la autorización y luego permanecer inactivos, esperando transferir cualquier fondo adicional posteriormente (si establecen un plazo de acceso suficientemente largo en los metadatos de la función de permiso)”.

“El éxito de este tipo de fraude depende de que firmes algo sin entender completamente qué va a suceder. Todo se reduce a la vulnerabilidad humana y a aprovechar la ingenuidad de las personas”.

Hay muchos ejemplos de fraudes de phishing de gran volumen y valor, creados para engañar a los usuarios y hacer que firmen algo que no entienden completamente. Muchas veces, estos fraudes están disfrazados de distribución gratuita de dinero, páginas de destino falsas de proyectos para conectar tu cartera o alertas de seguridad fraudulentas.

Cómo protegerse

Los proveedores de carteras digitales han implementado más recursos de protección. MetaMask, por ejemplo, alerta a los usuarios si un sitio parece sospechoso y trata de traducir los datos de la transacción en un lenguaje comprensible para humanos. Otras carteras también resaltan acciones de alto riesgo. Pero los estafadores siguen adaptándose.

Se recomienda a los usuarios verificar las direcciones de los remitentes y los detalles del contrato. “Esta es la forma más clara de saber si el protocolo no corresponde al destino real de los fondos, ya que probablemente alguien esté intentando robártelos. Puedes verificar el monto; muchas veces, intentan conceder aprobaciones ilimitadas”.

La vigilancia sigue siendo la mejor defensa de los usuarios. “La mejor forma de protegerse contra fraudes del tipo ‘permit’ es asegurarse de saber qué está firmando. ¿Qué acciones se realizarán realmente en la transacción? ¿Qué funciones están siendo usadas? ¿Corresponden a lo que pensabas que estabas firmando?”

“Muchas carteras y aplicaciones descentralizadas han mejorado sus interfaces de usuario para garantizar que no firmes a ciegas y puedas ver el resultado, además de mostrar advertencias sobre funciones de alto riesgo. Sin embargo, es importante que los usuarios verifiquen activamente qué están firmando y no solo conecten su cartera y hagan clic en firmar”.

Una vez robados, la recuperación de los fondos es improbable. En ataques de phishing, estás lidiando con un individuo cuyo único objetivo es robar tus fondos. No hay negociación, ningún punto de contacto y, muchas veces, ninguna idea de quién es la otra parte.

“Estos atacantes juegan con los números. Una vez que el dinero se fue, se fue para siempre. La recuperación es esencialmente imposible”.