En el mundo de las criptomonedas, las finanzas descentralizadas (defi) y Web3, los airdrops se han convertido en algo común en la industria. Si bien los airdrops suenan como dinero gratis, existe una tendencia creciente de estafas de phishing que roban el dinero de las personas cuando intentan obtener los llamados criptoactivos «gratis». A continuación, se muestran dos formas diferentes en que los atacantes utilizan las estafas de phishing desde el aire para robar fondos y cómo puede protegerse.
Tabla de contenido
Airdrops no siempre significa «criptografía gratis»: muchas promociones de sorteos de airdrop tienen como objetivo robarle
Los lanzamientos aéreos son sinónimo de fondos criptográficos gratuitos, por lo que una estafa criptográfica creciente llamada phishing de lanzamiento aéreo es rampante. Si es miembro de la comunidad criptográfica y usa plataformas de redes sociales como Twitter o Facebook, probablemente haya visto una serie de publicaciones de spam que promocionan lanzamientos aéreos de todo tipo.
Por lo general, una cuenta criptográfica popular de Twitter hace un tweet seguido de una multitud de estafadores que anuncian intentos de phishing y muchas cuentas dicen que obtuvieron dinero gratis. La mayoría de las personas no caerán en estas estafas de lanzamiento aéreo, pero dado que los lanzamientos aéreos se consideran criptográficos gratuitos, ha habido varias personas que han perdido dinero al ser víctimas de este tipo de ataque.
El primer ataque utiliza el mismo método de publicidad en las redes sociales, ya que varias personas o bots publican un enlace que conduce al sitio web de estafa de phishing Airdrop. El sitio web sospechoso puede parecer muy legítimo e incluso copiar algunos elementos de proyectos populares de Web3, pero al final los estafadores intentan robar los fondos. La estafa de lanzamiento aéreo gratuito podría ser un token criptográfico desconocido o también podría ser un activo digital existente popular Bitcoin, ETHSHIB, DOGE y más.
El primer ataque generalmente muestra que el airdrop es cobrable, pero la persona debe estar usando una billetera Web3 compatible para recuperar los llamados fondos «gratuitos». El sitio web conduce a una página que muestra todas las billeteras Web3 populares como Metamask y otras, pero esta vez, al hacer clic en el enlace de la billetera, se muestra un error y el sitio web le pide al usuario la frase inicial.
Para obtener soporte, abra MetaMask y navegue hasta «Soporte» u «Obtener ayuda» en el menú desplegable. No confíes en nadie que te haya enviado un mensaje directo. ¡BAJO NINGUNA CIRCUNSTANCIA debe compartir su frase secreta de recuperación con nadie ni ingresarla en ningún sitio web!
— Soporte de MetaMask (@MetaMaskSupport) 29 de abril de 2022
Aquí es donde se pone turbio, porque una billetera Web3 nunca solicitará la semilla o la frase mnemotécnica 12-24 a menos que el usuario esté restaurando activamente una billetera. Sin embargo, los usuarios desprevenidos de la estafa de phishing Airdrop pueden pensar que el error es legítimo e ingresar su semilla en la página web, lo que eventualmente resulta en la pérdida de todos los fondos almacenados en la billetera.
Básicamente, el usuario les dio a los atacantes las claves privadas al caer en la página de error de la billetera Web3 y pedir una frase mnemotécnica. Una persona nunca debe ingresar su semilla o una frase mnemotécnica de 12 a 24 cuando una fuente desconocida se lo solicite y, a menos que sea necesario recuperar una billetera, realmente nunca es necesario ingresar una frase inicial en línea para ingresar.
Otorgar permisos a un dapp dudoso no es la mejor idea
El segundo ataque es un poco más complicado y el atacante usa los tecnicismos del código para robar al usuario de la billetera Web3. De manera similar, la estafa de phishing Airdrop se promueve en las redes sociales, pero esta vez, cuando la persona visita el portal web, la persona puede usar su billetera Web3 para «conectarse» al sitio web.
Sin embargo, el atacante escribió el código de tal manera que, en lugar de otorgarle al sitio web acceso de lectura a los fondos, el usuario termina otorgando al sitio web permiso completo para robar los fondos en la billetera Web3. Esto puede suceder simplemente conectando una billetera Web3 a un sitio fraudulento y otorgándole permisos. El ataque se puede evitar simplemente no conectándose al sitio web y alejándose, pero hay muchas personas que han caído en este ataque de phishing.
Aquí está la última estafa de phishing
1️⃣ Airdrop un token
2️⃣ Cree un sitio web con el mismo nombre para que sea fácil de encontrar
3️⃣ Si determina lo que parece ser para este token, Appprove txn otorga un gasto ilimitado para otros tokens (por ejemplo, SNX)Luego vacían su billetera del token. pic.twitter.com/vICIeC5rGk
— DeFi Dad ⟠ defidad.eth (@DeFi_Dad) 20 de diciembre de 2021
Otra forma de asegurar una billetera es asegurarse de que los permisos Web3 de la billetera estén conectados a sitios en los que el usuario confíe. Si hay aplicaciones descentralizadas (dapps) que parecen sospechosas, los usuarios deben eliminar los permisos si se conectaron accidentalmente a la dapp al caer en la estafa criptográfica «gratuita». Sin embargo, por lo general es demasiado tarde y una vez que la Dapp tiene permiso para acceder a los fondos de la billetera, se le roba la criptografía al usuario a través de la codificación maliciosa aplicada a la DApp.
La mejor manera de protegerse de los dos ataques anteriores es nunca poner su frase semilla en línea a menos que esté recuperando una billetera intencionalmente. Además de eso, también es una buena forma de nunca conectarse a sitios web y dapps web3 dudosos o dar permisos de billetera web3 con los que no está familiarizado. Ambos ataques pueden causar grandes pérdidas a los inversores desprevenidos si ignoran la tendencia actual de phishing de airdrop.
¿Conoces a alguien que haya sido víctima de este tipo de estafa de phishing? ¿Cómo detecta los intentos de criptophishing? Háganos saber sus pensamientos en los comentarios.
autor de la foto: Shutterstock, Pixabay, WikiCommons
Descargo de responsabilidad: Este artículo es solo para fines informativos. No es una oferta directa, ni una solicitud de una oferta de compra o venta, ni una recomendación o respaldo de ningún producto, servicio o empresa. Bitcoin.com no proporciona asesoramiento de inversión, fiscal, legal o contable. Ni la empresa ni el autor son responsables, directa o indirectamente, de ningún daño o pérdida causados o presuntamente causados por o en relación con el uso o la confianza en cualquier contenido, bienes o servicios mencionados en este artículo.