Check Point Research (CPR) reveló cómo los estafadores desconfiguran los smart contracts para crear tokens fraudulentos.
El estudio detalla el método que están utilizando para robar dinero a los usuarios y muestra ejemplos de errores de configuración de los smart contracts que dar lugar a estafas económicas. Los hallazgos se basan en investigaciones anteriores de CPR sobre las criptodivisas.
El pasado mes de octubre, CPR identificó el robo de carteras en OpenSea, el mayor mercado de NFT del mundo. Y en noviembre, los investigadores revelaban que los ciberdelincuentes estaban utilizando campañas de phishing en motores de búsqueda para robar medio millón de dólares en cuestión de días.
En 2021 se registró un máximo histórico de delitos relacionados con las criptomonedas en el que los estafadores robaron 14.000 millones de dólares. El aumento de los fraudes y las amenazas está relacionado con el inmenso crecimiento de esta actividad en todo el mundo.
Los últimos comunicados y avances de las empresas muestran un mayor interés por las criptodivisas. Por ejemplo, PayPal está considerando el lanzamiento de su propia criptomoneda, Facebook ha cambiado su nombre por el de Meta, y MasterCard ha anunciado que los socios de su red pueden permitir a sus consumidores comprar, vender y mantenerlas utilizando un monedero digital.
Además, Disney quiere construir un metaverso, Nike compró una empresa de NFT, los clientes de Starbucks ya pueden utilizar la nueva aplicación Bakkt para pagar en las cafeterías de la cadena con bitcoin convertido. Además, Microsoft está construyendo su metaverso, Visa ha confirmado que está llevando a cabo un piloto con Crypto.com para aceptar criptodivisas para liquidar transacciones en su red de pagos. Adidas se unió al metaverso a través de NFT. Los fondos están fluyendo hacia este formato, por lo que no es de extrañar que los atacantes tengan como objetivo esta nueva forma de pago.
Recientemente, la BBC informaba de que un token llamado SQUID robó 3,38 millones de dólares a los criptoinversores en una estafa a gran escala. Un token es una moneda similar a bitcoin y Ethereum, pero algunos de los proyectos se crean para innovar y construir nuevas tecnologías, mientras que otros están ahí con fines fraudulentos. La investigación indaga en cómo los ciberdelincuentes han creado tokens para estafar a los consumidores y ofrece consejos sobre cómo identificar estas estafas.
· Algunos tokens contienen una tasa de compra del 99% que permite robar todo el dinero en la fase de compra.
· Algunos de los tokens no dejan al comprador revender (SQUID Token) de forma que el único autorizado a vender es el propietario.
· Otros tokens implican una comisión de venta del 99%, lo que significa que en la fase de venta le quitarán todo su dinero.
· Y existen otros que no son maliciosos, sino que tienen vulnerabilidades de seguridad en el código fuente del contrato y pierden sus fondos a manos de los ciberdelincuentes que explotan las vulnerabilidades.
Cómo desconfigurar los smart contracts
- Para crear tokens fraudulentos: los ciberdelincuentes desconfiguran los llamados contratos inteligentes, programas almacenados en blockchain que se ejecutan cuando se cumplen unas condiciones predeterminadas. Check Point Research describe los pasos que siguen los atacantes para aprovecharse de este tipo de contratos.
- Manipulan las funciones: con la transferencia de dinero, impidiendo vender, o aumentar la cantidad de la cuota. La mayoría de las manipulaciones se producen cuando se transfiere el dinero.
- Crean un hype a través de las redes sociales: abriendo canales Twitter/Discord/Telegram, sin revelar su identidad o utilizando la imagen falsa de otras personas, y empezarán a dar bombo al proyecto para que el público empiece a comprar.
- «Retirada del dinero»: una vez alcanzada la cantidad de dinero que quieren, retirarán de todo el dinero del contrato, y borrarán todos los canales de las redes sociales.
- Omiten los timelocks: por lo que no se verá que esos tokens bloqueen una gran cantidad de dinero en la reserva de contratos, ni tampoco que añadan timelocks. Los timelocks se utilizan sobre todo para retrasar las acciones administrativas y generalmente se consideran un fuerte indicador de que un proyecto es legítimo.
Consejos para evitar los fraudes con criptomonedas
· Diversificar los monederos: tener un monedero es el primer paso para poder utilizar bitcoins y, por extensión, cualquier otra criptodivisa. Estos monederos son la herramienta con la que los usuarios almacenan y gestionan sus bitcoins. Una de las claves para mantenerlos seguros es tener un mínimo de dos criptocarteras diferentes. El objetivo poder utilizar una de ellas para almacenar compras y otras para comerciar e intercambiar. De esta manera, mantendrán sus activos más protegidos porque las billeteras también almacenan las contraseñas de cada usuario. Estas son una parte fundamental a la hora de comerciar con criptodivisas y tienen una clave pública, que es la que hace posible que otros usuarios las envíen a su cartera. Si un ciberdelincuente consigue acceder a ellas a través de cualquier ataque, tendrá acceso al monedero con el que estás comerciando, pero si tienes otro monedero en el que se almacenan las ya adquiridas, los bitcoins se mantendrán a salvo.
· Ignorar los anuncios: muchas veces, los usuarios buscan plataformas de monederos bitcoin a través de Google. Y es en ese momento cuando pueden cometer uno de los mayores errores: hacer clic en uno de los anuncios de Google, que aparecen en primer lugar. Los ciberdelincuentes suelen estar detrás de estos enlaces, creando sitios web maliciosos a través de los cuales robar credenciales o contraseñas. Por lo tanto, es más seguro ir a las páginas web que no son un Anuncio de Google.
· Transacciones de prueba: hay veces que muchas personas pecan de precavidas y los ciberdelincuentes se aprovechan de ello. Para evitar caer en una de sus trampas, una de las medidas que se pueden poner en práctica es que antes de enviar grandes cantidades de cripto, enviar primero una transacción «de prueba» con un importe mínimo. De esta manera, en caso de que la estemos enviando a un monedero falso, será más fácil detectar el engaño y perderemos mucho menos.
· Doble atención para reforzar la seguridad: una de las mejores medidas a implementar para protegerse de cualquier tipo de ciberataque es activar la autenticación de doble factor en las plataformas en las que se tiene una cuenta. De esta forma, cuando cualquier atacante intente iniciar sesión en alguna de ellas de forma irregular, recibirá un mensaje para comprobar su autenticidad, impidiendo que un ciberdelincuente pueda acceder. Con la autenticación de dos factores, en lugar de requerir sólo una contraseña para la autenticación, el inicio de sesión en una cuenta requerirá que el usuario envíe una segunda clave, haciéndola más segura.
“Check Point Research está invirtiendo importantes recursos en el estudio de la intersección entre las criptomonedas y la seguridad. El año pasado, identificamos el robo de criptocarteras en OpenSea, el mayor mercado de NFT del mundo; también alertamos a usuarios de una campaña masiva de phishing en motores de búsqueda que dio lugar a la sustracción de al menos medio millón de dólares en cuestión de días”, alerta Oded Vanunu, jefe de investigación de vulnerabilidades de productos en Check Point Software. “En nuestra última publicación, mostramos cómo funciona el fraude de los smart contracts reales, y exponemos el fraude real de los tokens en el mercado: a) ocultando las funciones del 100% de la tarifa y luego b) ocultando las funciones de la backdoor. Esta publicación tiene como objetivo alertar a la comunidad de criptomonedas de que los estafadores están, efectivamente, creando tokens fraudulentos para robar fondos. Para evitar estas estafas, recomiendo a sus usuarios que diversifiquen sus carteras, ignoren los anuncios y prueben sus transacciones”, concluye Vanunu.