Un comerciante de criptomonedas pierde 2,5 millones de USDT tras caer dos veces en una estafa de envenenamiento de direcciones.
Las estafas de envenenamiento de direcciones continúan explotando los errores de los usuarios, lo que resulta en pérdidas multimillonarias para los comerciantes de criptomonedas.
El 26 de mayo, la empresa de seguridad blockchain Scam Sniffer informó que el primer error se produjo cuando el operador copió una dirección de billetera manipulada de su historial de transacciones. Esto resultó en una transferencia de $843,000 a la dirección fraudulenta.
Apenas unas horas después, el comerciante repitió el mismo error, enviando otros 1,7 millones de dólares a la misma dirección fraudulenta.
El método de ataque, conocido como envenenamiento de direcciones o envenenamiento del historial, consiste en que los estafadores envíen pequeñas transacciones desde direcciones de billetera que se parecen mucho a las legítimas. Estas transferencias falsas están diseñadas para aparecer en el historial de transacciones de la víctima.
Cuando posteriormente el usuario intente copiar la dirección de un destinatario de ese historial, probablemente seleccionará la versión maliciosa y, sin saberlo, enviará fondos al estafador.
Estas vulnerabilidades son cada vez más comunes ya que los atacantes apuntan a los usuarios de criptomonedas mediante técnicas sutiles y de bajo esfuerzo que se basan en errores del usuario y hábitos de interfaz.
Los hackers han estado perfeccionando sus métodos para atacar a los usuarios de forma más directa. La empresa de seguridad blockchain SlowMist detectó una creciente ola de campañas de phishing por SMS.
En estas estafas los actores maliciosos generalmente envían mensajes haciéndose pasar por intercambios de criptomonedas como Coinbase, afirmando falsamente un problema con un retiro o una falta a la seguridad. A continuación, se indica a las víctimas que llamen a un número de soporte en el mensaje. Al hacerlo, se les conecta con un agente falso que las redirige a un sitio web de phishing.