Robo de $440,000 en USDC
Un hacker sustrajo más de $440,000 en USDC tras engañar a un propietario de billetera para que firmara inadvertidamente una solicitud maliciosa de «permiso», según un tuit del lunes de Scam Sniffer. Este robo se produce en un contexto de aumento en las pérdidas por phishing.
Incremento en las pérdidas por phishing
Aproximadamente $7.77 millones fueron drenados de más de 6,000 víctimas en noviembre, según el informe mensual de Scam Sniffer, lo que representa un incremento del 137% en las pérdidas totales desde octubre, a pesar de que el número de víctimas disminuyó en un 42%.
«La caza de ballenas se intensificó con un golpe máximo de $1.22 millones (firma de permiso). A pesar de menos ataques, las pérdidas individuales crecieron significativamente», señaló la empresa.
Estafas basadas en permisos
Las estafas basadas en permisos se centran en engañar a los usuarios para que firmen una transacción que parece legítima, pero que silenciosamente otorga a un atacante el derecho a gastar sus tokens. Las dapps maliciosas pueden disfrazar campos, suplantar nombres de contratos o presentar la solicitud de firma como algo rutinario. Si un usuario no examina los detalles, firmar la solicitud otorga efectivamente al atacante permiso para acceder a todos los tokens ERC-20 del usuario.
Una vez otorgado, los estafadores suelen drenar los fondos de inmediato. Este método explota la función de permiso de Ethereum, diseñada para facilitar las transferencias de tokens al permitir a los usuarios delegar derechos de gasto a aplicaciones de confianza. La conveniencia se convierte en una vulnerabilidad cuando esos derechos se otorgan a un atacante.
«Lo que es particularmente complicado sobre este tipo de ataque es que los atacantes pueden realizar el permiso y la transferencia de tokens en una sola transacción (un enfoque de golpe y huida) o pueden obtener acceso a través del permiso y luego permanecer inactivos, esperando transferir cualquier fondo agregado posteriormente», explicó Tara Annison, jefa de producto en Twinstake, a Decrypt.
Consejos para los usuarios
Annison enfatizó que el éxito de este tipo de estafas depende de que firmes algo sin darte cuenta de lo que hará, añadiendo que «todo se trata de la vulnerabilidad humana y de aprovechar la disposición de las personas». También destacó que este incidente no es aislado, mencionando que existen numerosos ejemplos de estafas de phishing de gran valor y alto volumen diseñadas para engañar a los usuarios.
Los proveedores de billeteras han estado implementando más funciones de protección. MetaMask, por ejemplo, advierte a los usuarios si un sitio parece sospechoso e intenta traducir los datos de transacción en intenciones comprensibles para los humanos. Otras billeteras destacan de manera similar acciones de alto riesgo.
«La mejor manera de protegerte de una estafa de permiso, approveAll o transferFrom es asegurarte de que sabes lo que estás firmando. ¿Qué acciones se realizarán realmente en la transacción? ¿Qué funciones se están utilizando? ¿Coinciden con lo que pensabas que estabas firmando?», concluyó Annison.
Recuperación de fondos
Una vez robados, la recuperación de fondos es poco probable. Martin Derka, cofundador y líder técnico en Zircuit Finance, afirmó a Decrypt que las posibilidades de recuperar los fondos son «básicamente cero». «En los ataques de phishing, estás tratando con un individuo cuyo objetivo es tomar tus fondos. No hay negociación, no hay punto de contacto, y a menudo no hay idea de quién es la contraparte», explicó.
«Estos atacantes juegan un juego de números», añadió Derka, subrayando que «una vez que el dinero se ha ido, se ha ido. La recuperación es esencialmente imposible».
