Los ataques de phishing se aceleraron en 2024 y costaron 800 millones de dólares en lo que va del año
Los ataques de phishing no disminuyeron en 2024 y fueron especialmente consistentes en los últimos tres meses. Certik calcula las pérdidas en 800 millones de dólares en lo que va del año.
Los ataques a través de enlaces maliciosos provocaron un número récord de dent importantes. Según Certik, los ataques de phishing en lo que va del año provocaron pérdidas de 800 millones de dólares. El valor de los ataques aumentó además a medida que se apreciaba el mercado de cifrado. En octubre se produjeron un total de 26 ataques importantes, y hasta ahora siete a mediados de noviembre.
Algunos de los ataques de phishing y de envenenamiento de direcciones logran apuntar ocasionalmente a billeteras de gran escala, lo que genera pérdidas mayores. Sin embargo, el modelo de ataque se basa en una amplia distribución y en producir tantos ataques a billeteras como sea posible. Las estafas con direcciones copiadas falsas ocurren casi a diario y, en ocasiones, agotan importantes activos personales. En un caso reciente, la dirección envenenada falsificó la billetera legítima de un intercambio centralizado.
🚨 ALERTA: Otra víctima perdió $111,726 hace solo 10 minutos al copiar la dirección de depósito CEX incorrecta de un historial de transferencias contaminado.
Consejos para mantenerse a salvo 🔐:
• Siempre verifique las direcciones cuidadosamente 📝
• Utilice marcadores 🔖
• Verifique dos veces antes de enviar grandes cantidades ✅ https://t.co/t1uZRiRTev pic.twitter.com/V3K4ONWkzW— Rastreador de estafas | Web3 Anti-Scam (@realScamSniffer) 15 de noviembre de 2024
Una forma más sofisticada de drenaje de billetera presenta un ataque de prueba. Recientemente, otra dirección perdió más de $110 mil, cuando una billetera maliciosa falsificó la transacción original al introducir su propia dirección. La billetera del estafador incluso pasó la prueba de transacción de prueba, antes de convencer al usuario de que enviara la suma completa.
Otro usuario perdió 220.000 dólares al ser convencido de hacer clic en un enlace malicioso y dar permiso para conectarse con el trac inteligente que agotaba su billetera. El destinatario de la billetera ya ha sido etiquetado entre la creciente lista de billeteras de phishing falsas. Al igual que con otros exploits similares, los estafadores todavía dependen de Tornado Cash para cubrir sus trac .
La mayoría de los ataques se centraron en los ecosistemas Ethereum y Solana , con muchas menos pérdidas de BTC. La interacción habitual con múltiples protocolos para Web3, NFT o tokens de memes hizo que los usuarios fueran más propensos a firmar permisos y confiar en las indicaciones para conectar su billetera. Las carteras multiactivos también son vulnerables, lo que constituye una de las principales fuentes de pérdidas de BTC.
Web3 todavía enfrenta ataques de ‘pesca en el hielo’
Certik señaló que los proyectos Web3 son especialmente vulnerables a las llamadas técnicas de “pesca en hielo”. La pesca en hielo utiliza enlaces falsos, sitios falsos o herramientas más creativas para insertar un enlace. Los enlaces solicitan la aprobación de la billetera y emiten una transacción de aprobación.
Posteriormente, el atacante malicioso puede iniciar una transacción una vez que se abre la billetera. Hasta que se revoque el permiso, la billetera conectada a un enlace de phishing sigue siendo vulnerable. Certik advierte a los usuarios que verifiquen las aprobaciones de su billetera a través de una herramienta legítima y no a través de enlaces de terceros. El protocolo de aprobación de tokens de Etherscan puede ayudar a revocar enlaces sospechosos.
Los intercambios descentralizados y los protocolos de préstamos son las aplicaciones más atacadas y falsificadas. Hasta ahora, los estafadores han falsificado más de 200 millones de dólares en relación con la actividad DEX .
Certik excluye las estafas de billetera de otros exploits. Los grandes hackeos y ataques fueron más raros en octubre, pero las estafas de billeteras se mantuvieron en su nivel elevado habitual tanto en términos de números brutos como de fondos tomados.
Certik propone utilizar direcciones personalizadas
Una de las formas de crear una dirección más reconocible es crear una cadena personalizada. Las herramientas para generar billeteras se basan en múltiples intentos hasta que producen la dirección correcta con la cadena numérica deseada.
Las direcciones personalizadas también pueden ser falsificadas, pero la probabilidad es menor. Certik también ha notado que algunas billeteras falsas generan direcciones personalizadas con una cadena preferida de caracteres en el medio.
Otros servicios ampliamente utilizados, como el agregador DEX de 1 pulgada, han generado una dirección personalizada fácilmente reconocible para facilitar los depósitos. Con el tiempo, las direcciones de los estafadores aumentaron a un total de 269,705, según los informes de la comunidad. Pink Drainer sigue siendo uno de los mayores receptores de fondos de los usuarios, pero todo el tiempo se agregan nuevas direcciones con espacios más pequeños.
Las direcciones riesgosas suelen obtener una etiqueta como phishing falso, pero sólo después de haber sido denunciadas varias veces. Otras direcciones marcadas contienen transacciones de suma cero. Para evitar la señalización de tokens de valor cero, los estafadores también enviarán una cantidad legítima de USDT. La estafa aún depende de que el usuario final copie las direcciones del historial de transacciones.