Cómo evitar quedar atrapado por los estafadores de criptomonedas del ‘ice phishing’: CertiK

La empresa de seguridad Blockchain CertiK ha recordado a la criptocomunidad que se mantenga alerta sobre las estafas de «phishing de hielo», un tipo único de estafa de phishing dirigida a los usuarios de Web3 que Microsoft identificó por primera vez a principios de este año.

En un informe de análisis del 20 de diciembre, CertiK describió las estafas de phishing de hielo como un ataque que engaña a los usuarios de Web3 para que firmen permisos que terminan permitiendo que un estafador gaste sus tokens.

Esto difiere de los ataques de phishing tradicionales que intentan acceder a información confidencial, como claves privadas o contraseñas, a través de métodos como los sitios web falsos que afirman ayudar a los inversores de FTX a recuperar sus fondos perdidos.

#CertiKSkynetAlert 🚨

1/ Ice phishing is a considerable threat to the Web3 community

Instead of gaining accessing to your private key, scammers trick you into signing permissions to spend your assets.

We’ll outline below what to look out for, and how to protect yourself!

— CertiK Alert (@CertiKAlert) December 20, 2022

Una estafa del 17 de diciembre en la que se robaron 14 Bored Apes es un ejemplo de un elaborado ataque de phishing de hielo. Se convenció a un inversor para que firmara una solicitud de transacción disfrazada de contrato cinematográfico, lo que finalmente permitió al estafador venderse todos los Simios del usuario por una cantidad insignificante.

La firma señaló que este tipo de estafa era una «amenaza considerable» y solo se encontraba en el mundo Web3, donde a menudo se requiere que los inversores firmen permisos para los protocolos de finanzas descentralizadas (DeFi) que podrían falsificarse fácilmente. Certik escribió:

“El hacker solo necesita hacer creer al usuario que la dirección maliciosa a la que está dando su aprobación es legítima. Una vez que un usuario ha aprobado los permisos para que el estafador gaste tokens, los activos corren el riesgo de agotarse».

Una vez que un estafador ha obtenido la aprobación, puede transferir activos a una dirección de su elección.

Un ejemplo de cómo funciona un ataque de phishing de hielo en Etherscan. Fuente: Certik
Para protegerse del phishing de hielo, CertiK recomendó que los inversores usen una herramienta de aprobación de tokens y un sitio de exploración de blockchain como Etherscan para revocar los permisos de las direcciones que no reconocen.

Además, las direcciones con las que los usuarios planean interactuar deben buscarse en estos exploradores de blockchain en busca de actividad sospechosa. En su análisis, CertiK señala una dirección que fue financiada con retiros de Tornado Cash como ejemplo de actividad sospechosa.

CertiK también sugirió que los usuarios solo deberían interactuar con sitios oficiales que puedan verificar y tener especial cuidado con los sitios de redes sociales como Twitter, destacando una cuenta falsa de Optimism Twitter como ejemplo.

La firma también aconsejó a los usuarios que se tomaran un par de minutos para consultar un sitio confiable como CoinMarketCap o CoinGecko para asegurarse de que una URL se vincule a un sitio legítimo.

El gigante tecnológico Microsoft fue el primero en destacar esta práctica en una publicación de blog del 16 de febrero, y dijo en ese momento que, si bien el phishing de credenciales es muy predominante en el mundo Web2, el phishing de hielo brinda a los estafadores individuales la capacidad de robar una parte de la criptoindustria. mientras mantiene «casi completo anonimato».

Recomendaron que los proyectos de Web3 y los proveedores de billeteras aumenten su seguridad en el nivel del software para evitar que la carga de evitar los ataques de phishing de hielo recaiga únicamente en el usuario final.