Así desconfiguran los smart contracts los estafadores para crear tokens fraudulentos

Un estudio de Check Point Research detalla el método que están utilizando para robar dinero a los usuarios y ofrece ejemplos de errores de configuración

Guardar

Los Smart Contracts, en peligro
Los Smart Contracts, en peligro

Los hallazgos se basan en investigaciones anteriores de Check Point Reseach sobre las criptodivisas. El pasado mes de octubre, CPR identificó el robo de carteras en OpenSea, el mayor mercado de Tokens No Fungibles  del mundo. Y en noviembre, los investigadores revelaban que los ciberdelincuentes estaban usando campañas de phishing en motores de búsqueda para robar medio millón de dólares en cuestión de días. 

En 2021 se registró un máximo histórico de delitos relacionados con las criptomonedas en el que los estafadores robaron 14.000 millones de dólares. El crecimiento exponencial de los fraudes y las amenazas está relacionado con el inmenso aumento de esta actividad en todo el mundo.Oded Vanunu, jefe de investigación de vulnerabilidades de productos en Check Point Software ha manifestado que su equipo "está invirtiendo importantes recursos en el estudio de la intersección entre las criptomonedas y la seguridad. El año pasado, identificamos el robo de criptocarteras en OpenSea, el mayor mercado de NFT del mundo; también alertamos a usuarios de una campaña masiva de phishing en motores de búsqueda que dio lugar a la sustracción de al menos medio millón de dólares en cuestión de días”-

Un nicho inmenso para los ciberestafadores muy productivo

Y añade “En nuestra última publicación, mostramos cómo funciona el fraude de los smart contracts reales, y exponemos el fraude real de los tokens en el mercado: primero,  ocultando las funciones del 100% de la tarifa y después,  ocultando las funciones de la backdoor. Esta publicación tiene como objetivo alertar a la comunidad de criptomonedas de que los estafadores están, efectivamente, creando tokens fraudulentos para robar fondos. Para evitar estas estafas, recomiendo a sus usuarios que diversifiquen sus carteras, ignoren los anuncios y prueben sus transacciones”, aconseja Vanunu.

Y es que el nicho que se está creando para los ciberestafadores es inmenso. Es un hecho comprobado que multitud de  empresas muestran un mayor interés por las criptodivisas. Por ejemplo, PayPal está considerando el lanzamiento de su propia criptomoneda, y MasterCard ha anunciado que los socios de su red pueden permitir a sus consumidores comprar, vender y mantenerlas utilizando un monedero digital.

Ya hay quien se plantea comprar terrenitos en el Metaverso ante tanta propaganda, y quieren ser los primeros en forrarse, como ocurrió con las criptomonedas. Hay que andarse con cuidado por mucho que las multinacionales estén apostando fuerte por ls posibilidades que ofrece el metaverso. Hasta Disney quiere subirse al carro. Nike compró una empresa de NFT, los clientes de Starbucks ya pueden utilizar la nueva aplicación Bakkt para pagar en las cafeterías de la cadena con bitcoin convertido.  Microsoft está construyendo su metaverso, Visa ha confirmado que está llevando a cabo un piloto con Crypto.com para aceptar criptodivisas para liquidar transacciones en su red de pagos. U como recurerda en su comunicado remitido a los medios CPR, Adidas se unió al metaverso a través de NFT. Los fondos están fluyendo hacia este formato, por lo que no es de extrañar que los atacantes se estén poniendo las pilas para forrarse con estas nuevas formas de pago.

No hace mucho, la BBC informaba de que un token llamado SQUID robó 3,38 millones de dólares a los criptoinversores en una estafa a gran escala. Un token es una moneda similar a bitcoin y Ethereum, pero algunos de los proyectos se crean para innovar y construir nuevas tecnologías, mientras que otros solo obedecen a fines fraudulentos en su creación.. . La investigación indaga en cómo los ciberdelincuentes han creado tokens para estafar a los consumidores y ofrece consejos sobre cómo identificar estas estafas.

  • Algunos tokens contienen una tasa de compra del 99% que permite robar todo el dinero en la fase de compra.
  • Algunos de los tokens no dejan al comprador revender (SQUID Token) de forma que el único autorizado a vender es el propietario.
  • Otros tokens implican una comisión de venta del 99%, lo que significa que en la fase de venta le quitarán todo su dinero.
  • Y existen otros que no son maliciosos, sino que tienen vulnerabilidades de seguridad en el código fuente del contrato y pierden sus fondos a manos de los ciberdelincuentes que explotan las vulnerabilidades.

 

 ¿Qué hay que hacer para desconfigurar los smart Contracts?

 

  1. Para crear tokens fraudulentos: los ciberdelincuentes desconfiguran los llamados contratos inteligentes, programas almacenados en blockchain que se ejecutan cuando se cumplen unas condiciones predeterminadas. Check Point Research describe los pasos que siguen los atacantes para aprovecharse de este tipo de contratos.
  2. Manipulan las funciones: con la transferencia de dinero, impidiendo vender, o aumentar la cantidad de la cuota. La mayoría de las manipulaciones se producen cuando se transfiere el dinero.
  3. Crean un hype a través de las redes sociales: abriendo canales Twitter/Discord/Telegram, sin revelar su identidad o utilizando la imagen falsa de otras personas, y empezarán a dar bombo al proyecto para que el público empiece a comprar.
  4. "Retirada del dinero": una vez alcanzada la cantidad de dinero que quieren, retirarán de todo el dinero del contrato, y borrarán todos los canales de las redes sociales.
  5. Omiten los timelocks: por lo que no se verá que esos tokens bloqueen una gran cantidad de dinero en la reserva de contratos, ni tampoco que añadan timelocks. Los timelocks se utilizan sobre todo para retrasar las acciones administrativas y generalmente se consideran un fuerte indicador de que un proyecto es legítimo.

 

¿Que hacer para evitar que te engañen con las criptomonedas?

 

  • Diversificar los monederos: tener un monedero es el primer paso para poder utilizar bitcoins y, por extensión, cualquier otra criptodivisa. Estos monederos son la herramienta con la que los usuarios almacenan y gestionan sus bitcoins. Una de las claves para mantenerlos seguros es tener un mínimo de dos criptocarteras diferentes. El objetivo poder utilizar una de ellas para almacenar compras y otras para comerciar e intercambiar. De esta manera, mantendrán sus activos más protegidos porque las billeteras también almacenan las contraseñas de cada usuario. Estas son una parte fundamental a la hora de comerciar con criptodivisas y tienen una clave pública, que es la que hace posible que otros usuarios las envíen a su cartera. Si un ciberdelincuente consigue acceder a ellas a través de cualquier ataque, tendrá acceso al monedero con el que estás comerciando, pero si tienes otro monedero en el que se almacenan las ya adquiridas, los bitcoins se mantendrán a salvo.
  • Ignorar los anuncios: muchas veces, los usuarios buscan plataformas de monederos bitcoin a través de Google. Y es en ese momento cuando pueden cometer uno de los mayores errores: hacer clic en uno de los anuncios de Google, que aparecen en primer lugar. Los ciberdelincuentes suelen estar detrás de estos enlaces, creando sitios web maliciosos a través de los cuales robar credenciales o contraseñas. Por lo tanto, es más seguro ir a las páginas web que no son un Anuncio de Google.
  • Transacciones de prueba: hay veces que muchas personas pecan de precavidas y los ciberdelincuentes se aprovechan de ello, pero sigue siendo mejor el remedio que la enfermedad. Para evitar caer en una de de las trampas de los ciberdelincuentes, uno de los trucos  que se pueden poner en práctica es que antes de enviar grandes cantidades de cripto, se mande primero una transacción "de prueba" con un importe mínimo. De esta manera, en caso de que la estemos enviando a un monedero falso, será más fácil detectar el engaño y perderemos mucho menos. 
  • Doble autenticación para reforzar la seguridad: una de las  medidas más imprescindibles para protegerse de cualquier tipo de ciberataque es activar la autenticación de doble factor en las plataformas en las que se tiene una cuenta. De esta forma, cuando cualquier atacante intente iniciar sesión en alguna de ellas de forma irregular, recibirá un mensaje para comprobar su autenticidad, impidiendo que un ciberdelincuente pueda acceder. Con la autenticación de dos factores, en lugar de requerir sólo una contraseña para la autenticación, el inicio de sesión en una cuenta requerirá que el usuario envíe una segunda clave, lo que la convierte en una transacción más segura.

 


 

Archivado en: