según informes de cointelegraph, una vez más el fraude se ha convertido en un importante impulsor de los delitos relacionados con las criptomonedas, causando pérdidas directas de 4.6 mil millones de dólares el año pasado (2023).
según un informe de datos de certik, hubo 223 incidentes significativos de seguridad en cadena en el sector de las criptomonedas solo en el primer trimestre de 2024, lo que resultó en pérdidas totales de 500 millones de dólares. Además, un informe reciente de slowmist destacó que hubo más de 31 incidentes de seguridad destacados el mes pasado (mayo), causando pérdidas de 124 millones de dólares debido a hackeos, estafas de phishing, robo de cuentas y rug pulls. Esto representa un aumento de aproximadamente el 52,5% en comparación con abril.
además, el incidente ampliamente discutido que involucra el robo de grandes cantidades de fondos de los usuarios de OKX supuestamente no solo ha agotado fondos sustanciales de algunos usuarios, sino que también ha llevado a la retirada de 630 millones de dólares de fondos de usuarios del intercambio este mes.
Estos incidentes son solo los que conocemos. Muchas estafas, como los esquemas de "cortar cerdos" dirigidos a los recién llegados al campo, son difíciles de cuantificar.
Por eso siempre enfatizo dos principios fundamentales para los recién llegados en este campo: primero, proteja su capital inicial y segundo, evite cosas que no entienda. En pocas palabras, siempre priorice la conciencia de seguridad. Anteriormente hemos resumido algunos puntos sobre seguridad en artículos anteriores. Hoy continuaremos esta discusión destacando algunos problemas de seguridad comunes:
Las vulnerabilidades comunes en DeFi incluyen ataques de préstamos flash y manipulación de oráculos, ambos de los cuales pueden agotar los recursos de un protocolo DeFi.
los préstamos flash son un producto defi innovador que permite a los usuarios pedir prestada cualquier cantidad de activos criptográficos de un pool de protocolo sin garantía, siempre y cuando el principal y los intereses se devuelvan en la misma transacción (un bloque). La ventaja de los préstamos flash es que permiten a los usuarios aprovechar las oportunidades de arbitraje del mercado, logrando operaciones de bajo costo y alto rendimiento. El riesgo es que si el usuario no puede devolver el préstamo dentro del tiempo especificado, la transacción se cancela, lo que resulta en una pérdida de las tarifas de transacción y los intereses.
Los ataques de préstamos flash funcionan mediante la ejecución rápida de múltiples operaciones de préstamo y comercio en la misma red de blockchain, causando errores en los contratos inteligentes y permitiendo a los atacantes obtener beneficios indebidos. Por ejemplo, el 14 de mayo, el protocolo de préstamos nativo de Optimism, Sonne Finance, basado en Compound, sufrió un ataque de préstamos flash, perdiendo más de 20 millones de dólares.
Los oráculos son aplicaciones que obtienen, verifican y transmiten información externa (datos fuera de la cadena) a contratos inteligentes en la cadena de bloques. Además de extraer datos fuera de la cadena y transmitirlos en Ethereum, los oráculos también pueden enviar información desde la cadena de bloques a sistemas externos. Por ejemplo, una cerradura inteligente puede desbloquearse una vez que un usuario envía una tarifa a través de una transacción en Ethereum. Sin oráculos, los contratos inteligentes estarían limitados a utilizar solo datos en la cadena.
La manipulación del oráculo puede resultar en que los oráculos informen datos incorrectos sobre eventos externos o condiciones del mundo real. Por ejemplo, consideremos un activo de criptomoneda que se negocia en cinco intercambios, donde el 85% del volumen de negociación se realiza en dos de ellos. Si el oráculo solo cubre los otros tres intercambios con menor liquidez, su cobertura es insuficiente. Un atacante podría manipular los precios en estos tres intercambios de baja liquidez, lo que provocaría que el oráculo informe precios que se desvían de los precios reales del mercado, creando así un riesgo de manipulación.
por ejemplo, el 10 de junio, la plataforma de préstamos uwu lend fue atacada, lo que resultó en una pérdida de aproximadamente 19.3 millones de dólares. El núcleo de este ataque involucró al atacante manipulando el oráculo de precios al realizar grandes operaciones en la piscina curvefinance, lo que afectó el precio del token susde. Luego, el atacante aprovechó el precio manipulado para retirar otros activos de la piscina.
por lo tanto, al utilizar protocolos defi, es importante diversificar sus inversiones y evitar utilizar protocolos que no hayan sido auditados o que tengan piscinas de liquidez bajas.
muchos usuarios probablemente hayan encontrado sitios web de phishing. los estafadores crean sitios web falsos oficiales que parecen legítimos y los difunden ampliamente a través de redes sociales, correos electrónicos, grupos de discusión y otros canales. si un usuario visita un sitio web falso y, tentado por algunos beneficios, conecta su billetera y otorga autorización, los activos en su billetera pueden ser robados automáticamente.
Para evitar esto, siempre verifica dos veces el dominio (URL) de la dapp al visitar sitios web, especialmente aquellos que requieren autorización de billetera, como plataformas dex. Es mejor marcar los sitios web oficiales que uses con frecuencia en lugar de buscarlos en Twitter o Google cada vez, ya que los resultados de la búsqueda a veces pueden ser engañosos. Además, evita hacer clic en los anuncios de proyectos en varios sitios web, ya que los estafadores a menudo colocan anuncios falsos.
evita hacer clic en enlaces enviados por extraños. por ejemplo, una estafa común en discord implica que los estafadores envíen mensajes con enlaces a páginas falsas o publicaciones de twitter (el enlace a la publicación de twitter podría ser correcto, pero contiene un enlace fraudulento).
si necesita instalar complementos del navegador, solo instale aquellos con los que esté familiarizado. recientemente, el 3 de junio, un usuario informó haber perdido un millón de dólares después de instalar una extensión maliciosa de Chrome llamada aggr.
por lo tanto, al tratar con complementos del navegador (usando chrome como ejemplo), asegúrate de instalar solo complementos conocidos desde la tienda web de chrome para evitar extensiones desconocidas. También podrías considerar el uso de complementos de verificación de seguridad como scamsniffer para una navegación más segura.
si estás especialmente preocupado por la seguridad, considera crear un perfil de usuario separado en Chrome específicamente para las interacciones de DApp que requieren acceso a la billetera. No instales ningún complemento en este perfil y asegúrate de cerrar sesión inmediatamente después de completar tus transacciones.
Además de verificar la seguridad y confiabilidad de los protocolos al autorizar varias dapps, es recomendable verificar regularmente el historial de autorizaciones de su billetera y revocar cualquier autorización que pueda ser riesgosa o poco clara, incluso si ya ha desconectado su billetera.
hay varias herramientas disponibles para verificar las autorizaciones de billetera, con revokecash siendo una de las más comúnmente utilizadas, como se ilustra en la imagen a continuación.
Además, algunos monederos ofrecen funciones para gestionar autorizaciones históricas. Por ejemplo, el monedero Rabby, que es un monedero de criptomonedas de DeBank, admite esta funcionalidad, como se muestra en la imagen a continuación.
En cuanto al uso de billeteras, si tienes una cantidad significativa de activos, es recomendable no mantener todos tus fondos en billeteras calientes como Metamask o Phantom. Puedes mantener una parte de tus fondos frecuentemente utilizados en billeteras calientes (distribuidas en varias billeteras calientes), y otra parte en intercambios (distribuidos en diferentes intercambios, pero solo utiliza los principales). Los fondos restantes deben almacenarse en billeteras frías.
Además, las carteras frías no tienen que ser carteras de hardware como Ledger, Trezor o Ellipal. Personalmente, uso dos teléfonos Apple separados sin conexión como carteras frías. Para transacciones diarias, uso un teléfono Apple separado como cartera en caliente (no recomiendo usar teléfonos Android), que también está separado de mi teléfono cotidiano.
Muchas personas, especialmente los recién llegados, piensan en los airdrops como tokens o NFTs gratuitos que pueden reclamar. Los estafadores aprovechan esto utilizando airdrops falsos para engañar a la gente y hacer que revele las claves privadas de su billetera o llevarlos a sitios web de phishing donde autorizan sus billeteras.
por ejemplo, es posible que inesperadamente recibas un NFT (una pequeña imagen) en tu billetera con una URL en ella, que te invite a visitar el sitio web. Si visitas el sitio y autorizas tu billetera, tus activos podrían ser drenados al instante.
cuando veas direcciones de reclamo de tokens gratuitos o enlaces de airdrop para proyectos populares en las redes sociales, siempre verifica su autenticidad a través del sitio web oficial del proyecto. nunca compartas tu frase de recuperación o clave privada para reclamar cualquier airdrop. tu frase de recuperación equivale a todos tus activos, nunca la divulges a nadie.
solo hemos enumerado algunos problemas de seguridad comunes y consejos de prevención aquí. El espacio criptográfico está lleno de métodos de estafa en constante evolución. Los estafadores continúan pensando en nuevas formas de engañar, subrayando el punto que mencionamos anteriormente: cuando alguien se centra en un área específica y sigue investigando, puede avanzar. Los estafadores siempre están perfeccionando sus tácticas, lo que dificulta cada vez más que la mayoría de las personas se mantengan protegidas.
para concluir, echemos un vistazo a algunas de las últimas noticias calientes de los últimos días:
según informes de cointelegraph, una vez más el fraude se ha convertido en un importante impulsor de los delitos relacionados con las criptomonedas, causando pérdidas directas de 4.6 mil millones de dólares el año pasado (2023).
según un informe de datos de certik, hubo 223 incidentes significativos de seguridad en cadena en el sector de las criptomonedas solo en el primer trimestre de 2024, lo que resultó en pérdidas totales de 500 millones de dólares. Además, un informe reciente de slowmist destacó que hubo más de 31 incidentes de seguridad destacados el mes pasado (mayo), causando pérdidas de 124 millones de dólares debido a hackeos, estafas de phishing, robo de cuentas y rug pulls. Esto representa un aumento de aproximadamente el 52,5% en comparación con abril.
además, el incidente ampliamente discutido que involucra el robo de grandes cantidades de fondos de los usuarios de OKX supuestamente no solo ha agotado fondos sustanciales de algunos usuarios, sino que también ha llevado a la retirada de 630 millones de dólares de fondos de usuarios del intercambio este mes.
Estos incidentes son solo los que conocemos. Muchas estafas, como los esquemas de "cortar cerdos" dirigidos a los recién llegados al campo, son difíciles de cuantificar.
Por eso siempre enfatizo dos principios fundamentales para los recién llegados en este campo: primero, proteja su capital inicial y segundo, evite cosas que no entienda. En pocas palabras, siempre priorice la conciencia de seguridad. Anteriormente hemos resumido algunos puntos sobre seguridad en artículos anteriores. Hoy continuaremos esta discusión destacando algunos problemas de seguridad comunes:
Las vulnerabilidades comunes en DeFi incluyen ataques de préstamos flash y manipulación de oráculos, ambos de los cuales pueden agotar los recursos de un protocolo DeFi.
los préstamos flash son un producto defi innovador que permite a los usuarios pedir prestada cualquier cantidad de activos criptográficos de un pool de protocolo sin garantía, siempre y cuando el principal y los intereses se devuelvan en la misma transacción (un bloque). La ventaja de los préstamos flash es que permiten a los usuarios aprovechar las oportunidades de arbitraje del mercado, logrando operaciones de bajo costo y alto rendimiento. El riesgo es que si el usuario no puede devolver el préstamo dentro del tiempo especificado, la transacción se cancela, lo que resulta en una pérdida de las tarifas de transacción y los intereses.
Los ataques de préstamos flash funcionan mediante la ejecución rápida de múltiples operaciones de préstamo y comercio en la misma red de blockchain, causando errores en los contratos inteligentes y permitiendo a los atacantes obtener beneficios indebidos. Por ejemplo, el 14 de mayo, el protocolo de préstamos nativo de Optimism, Sonne Finance, basado en Compound, sufrió un ataque de préstamos flash, perdiendo más de 20 millones de dólares.
Los oráculos son aplicaciones que obtienen, verifican y transmiten información externa (datos fuera de la cadena) a contratos inteligentes en la cadena de bloques. Además de extraer datos fuera de la cadena y transmitirlos en Ethereum, los oráculos también pueden enviar información desde la cadena de bloques a sistemas externos. Por ejemplo, una cerradura inteligente puede desbloquearse una vez que un usuario envía una tarifa a través de una transacción en Ethereum. Sin oráculos, los contratos inteligentes estarían limitados a utilizar solo datos en la cadena.
La manipulación del oráculo puede resultar en que los oráculos informen datos incorrectos sobre eventos externos o condiciones del mundo real. Por ejemplo, consideremos un activo de criptomoneda que se negocia en cinco intercambios, donde el 85% del volumen de negociación se realiza en dos de ellos. Si el oráculo solo cubre los otros tres intercambios con menor liquidez, su cobertura es insuficiente. Un atacante podría manipular los precios en estos tres intercambios de baja liquidez, lo que provocaría que el oráculo informe precios que se desvían de los precios reales del mercado, creando así un riesgo de manipulación.
por ejemplo, el 10 de junio, la plataforma de préstamos uwu lend fue atacada, lo que resultó en una pérdida de aproximadamente 19.3 millones de dólares. El núcleo de este ataque involucró al atacante manipulando el oráculo de precios al realizar grandes operaciones en la piscina curvefinance, lo que afectó el precio del token susde. Luego, el atacante aprovechó el precio manipulado para retirar otros activos de la piscina.
por lo tanto, al utilizar protocolos defi, es importante diversificar sus inversiones y evitar utilizar protocolos que no hayan sido auditados o que tengan piscinas de liquidez bajas.
muchos usuarios probablemente hayan encontrado sitios web de phishing. los estafadores crean sitios web falsos oficiales que parecen legítimos y los difunden ampliamente a través de redes sociales, correos electrónicos, grupos de discusión y otros canales. si un usuario visita un sitio web falso y, tentado por algunos beneficios, conecta su billetera y otorga autorización, los activos en su billetera pueden ser robados automáticamente.
Para evitar esto, siempre verifica dos veces el dominio (URL) de la dapp al visitar sitios web, especialmente aquellos que requieren autorización de billetera, como plataformas dex. Es mejor marcar los sitios web oficiales que uses con frecuencia en lugar de buscarlos en Twitter o Google cada vez, ya que los resultados de la búsqueda a veces pueden ser engañosos. Además, evita hacer clic en los anuncios de proyectos en varios sitios web, ya que los estafadores a menudo colocan anuncios falsos.
evita hacer clic en enlaces enviados por extraños. por ejemplo, una estafa común en discord implica que los estafadores envíen mensajes con enlaces a páginas falsas o publicaciones de twitter (el enlace a la publicación de twitter podría ser correcto, pero contiene un enlace fraudulento).
si necesita instalar complementos del navegador, solo instale aquellos con los que esté familiarizado. recientemente, el 3 de junio, un usuario informó haber perdido un millón de dólares después de instalar una extensión maliciosa de Chrome llamada aggr.
por lo tanto, al tratar con complementos del navegador (usando chrome como ejemplo), asegúrate de instalar solo complementos conocidos desde la tienda web de chrome para evitar extensiones desconocidas. También podrías considerar el uso de complementos de verificación de seguridad como scamsniffer para una navegación más segura.
si estás especialmente preocupado por la seguridad, considera crear un perfil de usuario separado en Chrome específicamente para las interacciones de DApp que requieren acceso a la billetera. No instales ningún complemento en este perfil y asegúrate de cerrar sesión inmediatamente después de completar tus transacciones.
Además de verificar la seguridad y confiabilidad de los protocolos al autorizar varias dapps, es recomendable verificar regularmente el historial de autorizaciones de su billetera y revocar cualquier autorización que pueda ser riesgosa o poco clara, incluso si ya ha desconectado su billetera.
hay varias herramientas disponibles para verificar las autorizaciones de billetera, con revokecash siendo una de las más comúnmente utilizadas, como se ilustra en la imagen a continuación.
Además, algunos monederos ofrecen funciones para gestionar autorizaciones históricas. Por ejemplo, el monedero Rabby, que es un monedero de criptomonedas de DeBank, admite esta funcionalidad, como se muestra en la imagen a continuación.
En cuanto al uso de billeteras, si tienes una cantidad significativa de activos, es recomendable no mantener todos tus fondos en billeteras calientes como Metamask o Phantom. Puedes mantener una parte de tus fondos frecuentemente utilizados en billeteras calientes (distribuidas en varias billeteras calientes), y otra parte en intercambios (distribuidos en diferentes intercambios, pero solo utiliza los principales). Los fondos restantes deben almacenarse en billeteras frías.
Además, las carteras frías no tienen que ser carteras de hardware como Ledger, Trezor o Ellipal. Personalmente, uso dos teléfonos Apple separados sin conexión como carteras frías. Para transacciones diarias, uso un teléfono Apple separado como cartera en caliente (no recomiendo usar teléfonos Android), que también está separado de mi teléfono cotidiano.
Muchas personas, especialmente los recién llegados, piensan en los airdrops como tokens o NFTs gratuitos que pueden reclamar. Los estafadores aprovechan esto utilizando airdrops falsos para engañar a la gente y hacer que revele las claves privadas de su billetera o llevarlos a sitios web de phishing donde autorizan sus billeteras.
por ejemplo, es posible que inesperadamente recibas un NFT (una pequeña imagen) en tu billetera con una URL en ella, que te invite a visitar el sitio web. Si visitas el sitio y autorizas tu billetera, tus activos podrían ser drenados al instante.
cuando veas direcciones de reclamo de tokens gratuitos o enlaces de airdrop para proyectos populares en las redes sociales, siempre verifica su autenticidad a través del sitio web oficial del proyecto. nunca compartas tu frase de recuperación o clave privada para reclamar cualquier airdrop. tu frase de recuperación equivale a todos tus activos, nunca la divulges a nadie.
solo hemos enumerado algunos problemas de seguridad comunes y consejos de prevención aquí. El espacio criptográfico está lleno de métodos de estafa en constante evolución. Los estafadores continúan pensando en nuevas formas de engañar, subrayando el punto que mencionamos anteriormente: cuando alguien se centra en un área específica y sigue investigando, puede avanzar. Los estafadores siempre están perfeccionando sus tácticas, lo que dificulta cada vez más que la mayoría de las personas se mantengan protegidas.
para concluir, echemos un vistazo a algunas de las últimas noticias calientes de los últimos días: