Check Point Research, que se especializa en ciberseguridad a nivel mundial, ha denunciado un crecimiento en los ataques de suplantación de identidad en el ámbito de las criptomonedas. Estos ataques, que están adquiriendo mayor complejidad, no se circunscriben a una sola red blockchain, sino que están afectando a diversas plataformas como Ethereum, Binance Smart Chain, Polygon o Avalanche.
Cómo lo hacen
Angel Drainer es uno de los grupos de ciberdelincuentes conocidos que llevan a cabo este tipo de ataques, mostrando un continuo desarrollo a pesar de la desactivación de otros grupos similares. Una de las tácticas más recientes involucra el robo mediante campañas falsas de airdrop, que ofrecen bonificaciones gratis como muestra o a cambio de realizar ciertas tareas. Sin embargo, los atacantes utilizan este método para redirigir a sus víctimas a páginas maliciosas, obteniendo acceso a sus monederos digitales. El proceso se describe de la siguiente manera:
Campañas engañosas
Inicia con la creación de campañas falsas de airdrop, anunciadas en redes sociales o por correo electrónico, ofreciendo tokens gratuitos u otros incentivos para engañar víctimas. A primera vista, estas campañas parecen auténticas y resultan muy persuasivas.
Imitación de sitios web legítimos
Quienes responden a estas campañas falsas son dirigidos a sitios de internet tramposos, diseñados para parecerse a sitios reales, lo que complica su identificación.
Solicitud de conexión de billeteras
Para continuar, los usuarios deben conectar sus monederos digitales, aparentemente para verificar su identidad y obtener los tokens ofrecidos en un principio.
Interacción con contratos inteligentes maliciosos
Posteriormente, los usuarios deben aceptar un contrato inteligente que contiene funciones ocultas, como la modificación de las configuraciones de seguridad del monedero o la realización automática de movimientos no autorizados.
Uso indebido de la función ‘Permit’
También se malversa la función ‘Permit’ en Tokens ERC-20, obteniendo permisos para manejar los tokens de los usuarios. Este método es particularmente riesgoso al no necesitar una transacción en cadena para cada aprobación, dificultando la detección de la actividad.
Transferencia sigilosa de activos
Una vez que obtienen acceso, los atacantes transfieren dinero fuera de los monederos de los usuarios, llevando a cabo muchas transferencias para hacer más difícil el seguimiento de los activos hurtados. En muchos casos, especialmente cuando se utiliza la función ‘Permit’, no dejan un rastro directo en la cadena de bloques, complicando la detección de estas tareas delictivas.
Por ello, se subraya la necesidad de verificar minuciosamente los contratos inteligentes y mantener una vigilancia activa ante posibles casos de phishing, construyendo un entorno seguro para las monedas digitales.
Artículo publicado originalmente en 15 Feb 2024