Recuerdo que alguien del grupo compartió una sabia frase: "Si no sabes quién está generando las ganancias, entonces tú eres quien las está generando." Esto realmente me hace sentido. El mismo principio se aplica a la seguridad de usar billeteras de criptomonedas. Si no estás seguro de lo que implica una acción específica, entonces cada interacción o firma en cadena que hagas podría arriesgar la pérdida de los activos de tu billetera.

Recientemente, Scam Sniffer publicó un informe de phishing de mediados de 2024: Solo en la primera mitad de este año, se engañó a 260.000 víctimas en las cadenas EVM (cadenas basadas en Ethereum), lo que resultó en pérdidas totales de $314 millones. Para poner esto en perspectiva, esto ya ha superado los $295 millones perdidos en ataques de phishing en todo 2023, y solo tomó seis meses alcanzar esta cifra, como se muestra en el gráfico a continuación.

El informe destaca que la mayoría de los robos de tokens ERC20 ocurren al firmar firmas de phishing, como Permit (firmas de autorización sin conexión), Increase Allowance (ampliar los límites de autorización) y Uniswap Permit2. Los ataques de phishing claramente siguen siendo una vulnerabilidad significativa en la seguridad en cadena.

Hace unos días, un amigo se encontró con un problema. Hace dos meses, el 14 de junio, realizaron tres transferencias desde su Cartera de Coinbase a Binance (transferencias de la cadena de Ethereum). La primera transferencia se realizó con éxito, pero las otras dos nunca llegaron, y ahora han pasado dos meses. ¿Qué podría haber salido mal?

Revisé los registros de transacciones en Etherscan y encontré solo una transferencia, sin rastro de las otras dos, como se muestra en la imagen a continuación.

Mirando más de cerca todas las transacciones en cadena a partir del 14 de junio, encontré tres intentos de transferencia, pero las últimas dos se marcaron como transacciones fallidas, como se muestra en la imagen a continuación.

Entonces hice clic en una de las transacciones fallidas (marcadas como "Fail") para ver qué salió mal. El mensaje de error decía: "Error encontrado durante la ejecución del contrato". Según la documentación oficial de Etherscan, este tipo de error no debería resultar en una pérdida de activos de la billetera. Los tokens nunca abandonan la billetera del remitente en tales casos, aunque las tarifas de gas aún se deducen. Esto se ilustra en la imagen a continuación.

Para abordar este tipo de problema, esto es lo que se necesita confirmar:

-Verifique si los fondos realmente se transfirieron o se perdieron de la billetera ese día (es decir, si la transacción fallida no resultó en que los fondos regresaran a la billetera).

-Si se confirma que los activos han sido transferidos o perdidos, es posible que necesite comunicarse con el servicio de atención al cliente de la plataforma relevante. En tales casos, es mejor ponerse en contacto con la plataforma responsable de enviar o iniciar la retirada, ya que la plataforma o dirección receptora no podrá resolver el problema.

Dado esto, mi recomendación habitual es que es una buena idea mantener un registro detallado de transacciones, como usar Excel para rastrear sus transacciones diarias (compra/venta) y su flujo de efectivo (ingresos/gastos). De esta manera, si surgen problemas, puede comparar el registro con los registros de transacciones en cadena para su verificación cruzada. De hecho, yo mismo mantengo dicho registro, registrando cada transacción en detalle. También agrego notas sobre mis experiencias o pensamientos sobre ciertas transacciones.

En este punto, el problema parece estar mayormente entendido. Sin embargo, al revisar el historial de transacciones en cadena, encontré un problema aún más serio con la billetera de este amigo: ¡ha sido atacada por hackers!

¿Qué pasó? Echemos un vistazo más de cerca (como se muestra en la imagen a continuación):

Comencemos por ver primero la caja roja en la imagen (una transacción legítima):

El propietario de la billetera acababa de completar un intercambio de $10,000 y transfirió los USDT a una billetera que comienza con 0x8F y termina con f103.

Ahora, revisa la caja verde (una transacción de phishing):

Inmediatamente después, el hacker creó varias transacciones falsas. Curiosamente, la dirección de la billetera del hacker también comienza con 0x8F y termina con f103.

Vamos a comparar las direcciones de la billetera más de cerca:

La dirección real del propietario de la billetera es:

0x8F773C2E1bF81cbA8ee71CBb8d33249Be6e5f103

Las direcciones de la billetera del hacker son:

0x8F7cCF79d497feDa14eD09F55d2c511001E5f103

0x8F776d5623F778Ea061efcA240912f9643fdf103

¿Notaste el problema? Los primeros cuatro y los últimos cuatro caracteres de estas direcciones son idénticos, lo que las hace parecer casi iguales a simple vista. Si copias y pegas una dirección directamente desde el historial de transacciones sin verificarla dos veces, podrías terminar enviando dinero directamente al hacker fácilmente.

Entonces, está claro que esta billetera ha sido atacada por un hacker que intenta pescar activos. Además, la página del hash de transacción lo confirma: la Acción de la transacción está marcada como Fake_Phishing, lo que no deja dudas de que esta es la dirección de un hacker. Consulte la imagen a continuación para obtener más información.

Consejo rápido: ¿Por qué no puedes ver transacciones inválidas o transferencias de valor cero en Etherscan? ¿Cómo puedes cambiar el navegador Ethereum a chino simplificado?

Por defecto, Etherscan oculta transacciones inválidas y transferencias de valor cero. Si deseas verlas, simplemente ve a la página de configuración en Etherscan y habilita las opciones avanzadas. De manera similar, si prefieres usar la interfaz en chino simplificado, también puedes ajustarlo en la configuración. Consulta la imagen a continuación para referencia. Alternativamente, puedes utilizar exploradores multi-cadena de terceros como Oklink, que también admiten chino simplificado.

La seguridad de la billetera es algo que definitivamente requiere atención cercana, especialmente para las billeteras que contienen activos significativos (más de $1 millón). Es una buena idea distribuir sus fondos en diferentes billeteras según su propósito para mejorar la seguridad. Así es como personalmente organizo mis billeteras en niveles:

Nivel 1: Una billetera fría configurada en un teléfono Apple, estrictamente para almacenamiento a largo plazo. Se mantiene sin conexión y nunca se utiliza para ninguna transacción o transferencia. Planeo mantener estos activos durante al menos 10 años sin tocarlos. Si desea utilizar una billetera fría para transacciones, puede considerar la compra de billeteras de hardware conocidas a través de canales confiables (como Trezor, Ledger, etc.).

Nivel 2: Una billetera caliente para sumas más grandes. Yo uso Trust Wallet y no otorgo ningún permiso a las dApps. Esta billetera se utiliza solo para transferencias entre mis propias billeteras y retiros o transferencias a Binance.

Nivel 3: Docenas de billeteras pequeñas, algunas para fines de prueba (como interactuar con nuevos proyectos para probar sus características o, ocasionalmente, obtener un airdrop), mientras que otras se usaban para comprar altcoins o tokens meme (aunque he hecho menos de esto en los últimos años). Cada billetera solo contiene pequeñas cantidades, que van desde unos pocos cientos hasta unos pocos miles de dólares. Soy más relajado en cuanto a autorizaciones y firmas con estas billeteras, e incluso si una es hackeada, no es gran cosa. Gestionar todas estas billeteras puede parecer una molestia, pero vale la pena por la seguridad adicional.

En resumen, todos tienen sus propias preferencias sobre cómo gestionar sus carteras, dependiendo de su situación. Los usuarios experimentados de criptomonedas a menudo prefieren mantener sus activos en la cadena, pero para la mayoría de los recién llegados, en realidad es más seguro almacenar activos (menos de $100,000) en plataformas importantes como Binance o OKX.

Ahora, vamos a repasar algunas tácticas comunes de phishing:

1. Permitir ataque de phishing

Para empezar, expliquemos algunos conceptos básicos: Cuando transfieres tokens en Ethereum, generalmente interactúas con el contrato inteligente del token utilizando la función Transfer o la función Transfer From. La función Transfer se utiliza cuando el propietario autoriza directamente la transferencia de tokens a otra dirección, mientras que Transfer From permite a un tercero mover tokens de una dirección a otra.

Así es como funciona un ataque de phishing de permisos:

Primero, el atacante engaña a la víctima para que haga clic en un enlace de phishing o visite un sitio web falso, lo que los lleva a firmar una transacción de billetera (fuera de la cadena).

Luego, el atacante utiliza la función de Permiso para obtener autorización.

Finalmente, el atacante llama a la función Transfer From para mover los activos de la víctima, completando el ataque de phishing.

Este método de phishing tiene una característica clave: después de que el atacante obtiene acceso a su autorización de firma, puede ejecutar las operaciones de Permitir y Transferir Desde. Lo importante es tener en cuenta que la autorización no aparecerá en el historial de transacciones en cadena de la víctima, pero será visible en la actividad de la dirección del atacante.

Normalmente, este tipo de ataques de phishing de firma son eventos únicos, lo que significa que no representan una amenaza continua de phishing. En términos más simples: un ataque de phishing de firma no puede robar la frase mnemotécnica de tu monedero (o clave privada). Cada intento de phishing solo permite al hacker utilizar la autorización una vez, y solo afecta al token y al blockchain que autorizaste (por ejemplo, si autorizaste USDT, el hacker solo puede tomar tus USDT). En otras palabras, una sola firma de phishing le da al hacker una oportunidad única, a menos que cometas el error de firmar nuevamente en el futuro, dándoles otra oportunidad para explotar tu monedero.

(Crédito de la imagen: bocaibocai@wzxznl)

2. Ataque de phishing de permiso Uniswap2

Este método de phishing es similar al ataque de Permiso mencionado anteriormente, ambos implican phishing de firma fuera de la cadena. Uniswap Permit2 es un contrato inteligente introducido por Uniswap en 2022. Según Uniswap, es un contrato de aprobación de tokens diseñado para permitir que los permisos de token se compartan y administren en diferentes aplicaciones, proporcionando una experiencia de usuario más fluida, rentable y segura. Ahora muchos proyectos han integrado Permit2.

Recientemente, leí algunos artículos de bocaibocai (X@wzxznl) para profundizar en los mecanismos de los ataques de phishing de Permit2. Aquí tienes un resumen rápido:

Cuando deseas realizar un intercambio en un exchange descentralizado (DEX), el proceso tradicional requiere que primero apruebes al DEX para acceder a tus tokens y luego realices el intercambio. Esto generalmente implica pagar tarifas de gas dos veces, lo cual puede resultar inconveniente para los usuarios. Permit2 simplifica este proceso al omitir el paso de aprobación adicional, reduciendo efectivamente los costos de interacción y mejorando la experiencia general del usuario.

Esencialmente, Permit2 actúa como intermediario entre los usuarios y las dApps. Una vez que los usuarios autoricen Permit2, cualquier dApp integrada con Permit2 puede compartir ese límite de autorización. Esto no solo reduce los costos y agiliza el proceso para los usuarios, sino que también ayuda a las dApps a atraer a más usuarios y liquidez debido a la experiencia mejorada.

Lo que parecía una situación beneficiosa puede convertirse también en una espada de doble filo. Tradicionalmente, tanto las autorizaciones como las transferencias de fondos implican acciones en cadena por parte del usuario. Pero con Permit2, la interacción del usuario se reduce a una firma fuera de la cadena, mientras que intermediarios como el contrato de Permit2 o proyectos integrados con él manejan las operaciones en cadena. Este cambio ofrece ventajas al reducir la fricción en cadena para los usuarios, pero también presenta riesgos. Las firmas fuera de la cadena son donde los usuarios a menudo bajan sus defensas. Por ejemplo, al conectar una billetera a ciertas dApps, se les pide a los usuarios que firmen algo, pero la mayoría no examina ni entiende cuidadosamente el contenido de la firma (que a menudo parece un conjunto de código). Esta falta de escrutinio puede ser peligrosa.

Otra preocupación importante es que Permit2, por defecto, autoriza el acceso a todo el saldo de sus tokens, sin importar cuánto tenga previsto intercambiar. Mientras que monederos como MetaMask le permiten establecer un límite personalizado, la mayoría de los usuarios probablemente simplemente hagan clic en "máx" o utilicen la configuración predeterminada. El valor predeterminado para Permit2 es una autorización ilimitada, lo cual es particularmente arriesgado. Consulte la imagen a continuación para obtener más información.

Esto significa esencialmente que si has interactuado con Uniswap y has otorgado una autorización al contrato Permit2, eres vulnerable a esta estafa de phishing.

Por ejemplo, digamos que Xiao Li utilizó Uniswap y autorizó una cantidad ilimitada de USDT al contrato Permit2. Más tarde, mientras realizaba transacciones de billetera de rutina, Xiao Li cayó sin darse cuenta en una trampa de phishing que involucraba a Permit2. Una vez que el hacker obtuvo la firma de Xiao Li, podrían usarla para realizar dos operaciones clave en el contrato Permit2: Permitir y Transferir Desde, para robar los activos de Xiao Li.

Así es como funciona este ataque de phishing:

Antes del intento de phishing, el usuario ya había utilizado Uniswap y otorgó permisos de token al contrato Uniswap Permit2 (con una asignación ilimitada por defecto).

Luego, el atacante crea un enlace o sitio web falso de phishing, engañando al usuario para que firme una transacción. Una vez que se captura la firma, el hacker obtiene toda la información que necesita (este paso es similar al phishing con permisos).

Usando esto, el atacante llama a la función Permit en el contrato Permit2, completando la autorización.

Finalmente, el atacante llama a la función Transfer From dentro del contrato Permit2 para transferir los activos de la víctima, completando el ataque de phishing.

Normalmente, estos ataques implican varias direcciones de recepción. Algunos se utilizan únicamente para operaciones de phishing (e incluso pueden diseñarse para parecerse a la dirección de la víctima con caracteres similares al principio y al final), mientras que otros pertenecen a redes de phishing organizadas (por ejemplo, proveedores de DaaS). La industria del phishing dirigida a las billeteras criptográficas parece haberse convertido en un mercado clandestino a gran escala. Vea la imagen a continuación.

¿Cómo puedes protegerte de los ataques de phishing de Permit y Permit2?

Una opción es utilizar complementos de seguridad del navegador como Scamsniffer (lo he estado usando en mi Google Chrome) para bloquear enlaces de phishing. Además, puedes verificar regularmente y revocar cualquier autorización o firma innecesaria o sospechosa con herramientas como Revoke Cash. Consulta la imagen a continuación para ver un ejemplo.

También podrías utilizar una herramienta especializada de gestión de autorizaciones de Scamsniffer, diseñada específicamente para Uniswap Permit2, para revisar regularmente tus autorizaciones. Si algo parece inusual, es importante revocar los permisos inmediatamente. Ver la imagen a continuación.

Dicho esto, el aspecto más crucial es mantener una fuerte conciencia de seguridad. Evite visitar sitios web o enlaces desconocidos, y al interactuar con dApps, siempre verifique dos veces lo que está autorizando.

(Crédito de la imagen: bocaibocai@wzxznl)

Consejo rápido: ¿Cómo puedes saber si una firma de billetera es para Permit o Permit2?

Al firmar, verás algunos detalles en la ventana de confirmación de autorización. Puedes identificar el tipo de firma al observar los campos clave como los que se muestran en la imagen a continuación:

Propietario (la dirección que otorga autorización); Destinatario (la dirección que recibe autorización); Valor (la cantidad autorizada); Nonce (un número aleatorio único); Fecha límite (la fecha de vencimiento).

3. Ataque de phishing de reclamo

Este tipo de phishing es muy común. Por ejemplo, si navegas por X (anteriormente Twitter) con frecuencia, es probable que te encuentres con mensajes que ofrecen "airdrops" gratuitos. A veces, incluso podrías encontrar NFT aleatorios depositados misteriosamente en tu billetera (que podrían incluir un enlace de sitio web).

Si hace clic en un sitio web de phishing y continúa con un Reclamaracción, los activos de tu billetera podrían ser robados inmediatamente por el hacker.

¿Cómo puedes protegerte?

En primer lugar, no te dejes engañar por ofertas "demasiado buenas para ser verdad" (evita hacer clic en enlaces sospechosos o aceptar NFT y airdrops gratuitos desconocidos). En segundo lugar, siempre verifica el sitio web que estás utilizando para asegurarte de que sea el sitio oficial legítimo antes de realizar cualquier operación de reclamo.

4. Phishing de transferencia de dirección similar

El 3 de mayo de este año, una ballena cripto cayó víctima de un ataque de phishing utilizando una dirección similar, perdiendo 1.155 WBTC (equivalentes a aproximadamente $70 millones en ese momento).

SlowMist previamente analizó este evento en detalle, así que no repetiré los detalles aquí. Si tienes curiosidad, puedes volver a ver el caso aquí:

https://mp.weixin.qq.com/s/mQch5pEg1fmJsMbiOClwOg

Este tipo de phishing es relativamente sencillo:

Primero, el hacker genera una gran cantidad de direcciones de phishing engañosas que se asemejan estrechamente a la dirección prevista de la víctima, a menudo coincidiendo con los primeros 4 y los últimos 6 caracteres.

A continuación, despliegan un programa en lotes para monitorear las actividades en cadena de la víctima y luego lanzan un ataque de phishing enviando una dirección similar justo antes de la transacción prevista.

Finalmente, cuando la víctima realiza una transferencia, el hacker utiliza una dirección de aspecto similar para enviar una transacción justo después. De esta manera, la dirección de phishing aparece en el historial de transacciones del usuario. Ver la imagen a continuación.

Porque muchos usuarios tienen la costumbre de copiar los detalles de la transacción de su historial de billetera, podrían ver la transacción de phishing que sigue de cerca la suya y no darse cuenta de que han copiado la dirección equivocada. Sin verificar cuidadosamente, podrían terminar enviando por error 1.155 WBTC a la dirección de phishing.

¿Cómo puedes prevenir esto?

Primero, guarde las direcciones comúnmente utilizadas en el libro de direcciones de su billetera (o inclúyalas en la lista blanca), para que la próxima vez, pueda seleccionar la dirección correcta de la lista. Segundo, siempre verifique dos veces la dirección completa antes de transferir fondos, no confíe solo en los primeros o últimos caracteres. Al realizar una transferencia grande, es buena idea enviar primero una pequeña transacción de prueba para asegurarse de que todo esté correcto.

5. Phishing de firma autorizada

Los métodos de Permiso, Permiso2 de Uniswap y Reclamo mencionados anteriormente caen todos bajo el paraguas del phishing de autorización. De hecho, hay muchas formas en que los hackers pueden explotar las autorizaciones de billetera, como con Approve (otorgando permiso para que una plataforma como Uniswap use tu USDT) y Increase Allowance (aumentando el límite de gasto).

El proceso de phishing generalmente implica que el atacante configure un enlace o sitio web falso o incluso piratee un sitio de proyecto oficial e incruste malware, lo que engaña a los usuarios para que hagan clic y otorguen autorización de billetera sin saberlo.

Los cinco métodos de phishing discutidos son solo algunos de los más comunes. Los hackers están constantemente ideando nuevos y creativos métodos de ataque. Como dice el refrán, "Los hackers siempre estarán un paso adelante." Esto significa que la seguridad de la billetera es un desafío continuo, y los usuarios necesitan mantenerse vigilantes en todo momento.

Aviso legal:

1. Este artículo es reimpreso de [Gate话李话外] con el título "¿Está segura tu billetera? Cómo los hackers explotan Permit, Uniswap Permit2 y firmas para el phishing." Todos los derechos de autor pertenecen al autor original [话李话外]. Si hay objeciones a esta reproducción, por favor contacta al Gate Learnequipo y ellos lo resolverán rápidamente.

2. Descargo de responsabilidad: Las opiniones expresadas en este artículo son únicamente las del autor y no constituyen ningún consejo de inversión.

3. Las traducciones del artículo a otros idiomas son realizadas por el equipo de Gate Learn. A menos que se mencioneGate.io, está prohibido copiar, distribuir o plagiarizar los artículos traducidos.