Un estafador de criptomonedas atacó más de 73 000 LP de Uniswap y robó más de 8 millones de dólares utilizando tokens lanzados desde el aire maliciosos. Aquí se explica cómo evitar un ataque de phishing.
Más de 73.000 Uniswap Los proveedores de liquidez (LP), usuarios que proporcionan los tokens utilizados para operar en el protocolo Uniswap, acaban de aprender una dura lección sobre una estafa clásica. Crypto es conocido por ser un coto de caza para estafadores y piratas informáticos, y una de las estrategias más efectivas son los ataques de phishing. Debido a que las criptomonedas y las NFT están protegidas por la seguridad impenetrable de la tecnología de cadenas de bloques, la forma más fácil de robar activos de cadenas de bloques es a través del engaño.
En la Web 2.0, un ataque de phishing es un tipo de pirateo que generalmente involucra un correo electrónico falso con un archivo adjunto que contiene un virus que ataca el dispositivo del destinatario o, peor aún, permanece en segundo plano y recopila sus datos personales. En la Web 3.0, un ataque de phishing es a menudo un sitio web front-end falso clonado de un proyecto criptográfico real diseñado para engañar al usuario para que firme un contrato inteligente malicioso que transfiere sus existencias criptográficas a la billetera del atacante, y puede venir en forma de un correo electrónico (si se conoce) o a través de un token malicioso. Las víctimas se ven atraídas por la promesa de un “lanzamiento aéreo”: la distribución gratuita de tokens comúnmente emitidos como recompensa para los primeros usuarios, y el código malicioso se ejecuta cuando reclaman el lanzamiento aéreo. A diferencia de una estafa criptográfica de bombeo y descarga, un ataque de phishing utiliza un contrato inteligente para robar directamente las tenencias de la billetera de la víctima.
De acuerdo a CoinDesk, el atacante de Uniswap transfirió tokens LP falsos de Uniswap a las billeteras de los usuarios para engañarlos y hacerles creer que recibieron un airdrop de Uniswap, y luego de la investigación fueron conducidos a un sitio web falso que era un clon de Uniswap. El sitio web les pidió que conectaran su billetera y firmaran una transacción para intercambiar sus tokens LP por tokens UNI, completando así el airdrop. En cambio, ejecutó un código malicioso y robó todos sus tokens LP reales de Uniswap. Un usuario, que proporcionaba WBTC y USDC, perdió más de 8 millones de dólares en el ataque.
No toque tokens lanzados aleatoriamente desde el aire
Realizar una estafa de criptomonedas no es difícil. Es relativamente fácil diseñar e implementar un contrato inteligente malicioso, clonar un front-end de código abierto y luego enviar los tokens infectados a todas las víctimas potenciales. Estas víctimas investigarán de dónde provienen los tokens, ya que los tokens aparecen en Etherscan y tienen un valor en dólares, y al seguir la URL del sitio web de los tokens, se les presentará una página que les solicitará que conecten su billetera y firmen una transacción para reclamar su lanzamiento aéreo. Es necesario realizar una investigación superficial antes de firmar cualquier transacción que prometa criptomonedas gratuitas, especialmente para proyectos grandes como Uniswap, y tratar todas las criptomonedas gratuitas como una posible estafa.
Si un protocolo respetado como Uniswap va a realizar un lanzamiento aéreo, hará un anuncio en su blog y en los canales oficiales de las redes sociales. Los proyectos criptográficos legítimos también rara vez realizan lanzamientos aéreos “empujando” los tokens a sus destinatarios, ya que es costoso e inseguro hacerlo. En su lugar, es estándar utilizar un método de entrega “pull”, en el que los destinatarios van al sitio web oficial y recogen los tokens de una página de airdrop. El método de extracción es más económico para el remitente y mucho más seguro para el destinatario, ya que saben de dónde provienen los tokens. Finalmente, los proyectos legítimos verificarán y cargarán su código de contrato inteligente en exploradores de bloques como Etherscan, que es la única forma de saber qué hay en una transacción sin firmarla.
Lo primero que debe hacer un usuario si recibe tokens de un proyecto de Web3, metaverso o cadena de bloques es consultar el blog oficial del proyecto y los canales de redes sociales en busca de una publicación sobre un airdrop, y si no se anuncia ninguno, los tokens recibidos deben tratarse. como sospechoso. Es importante recordar que los tokens maliciosos solo pueden atacar si interactúan con ellos. Aunque no hay mucho que se pueda hacer por las víctimas del Uniswap ataque de phishing, todos los demás deben sospechar de inmediato de los tokens recibidos a través de un airdrop empujado, ya que esta no es una forma estándar de la industria de realizar airdrops y a menudo se usa para ataques de phishing.
Fuente: CoinDesk