Estamos acostumbrados a escuchar advertencias sobre phishing a través de WhatsApp, mensajes, enlaces falsos y correos electrónicos, y sabemos cómo lidiar con ellos y advertir sobre ellos.
¿Pero alguna vez has experimentado un intento de phishing a través de un token?
Hoy, mientras revisaba mis billeteras Web3, noté tres transferencias entrantes no solicitadas en el historial de una billetera sin mi conocimiento (no participé en ninguna actividad en cadena, ni se distribuyó este token como un airdrop o giveaway, ni intercambié ningún token con nadie para recibir esta moneda).
Había leído sobre este tipo de token antes, pero esta fue mi primera experiencia directa con este tipo de phishing. Me gustaría compartirlo para crear conciencia y precaución.
1. Los tokens existen en la red Plasma y utilizan un sitio web como su nombre.
2. Este token falso solo apareció en mi billetera después de que hice clic en "Agregar Token" – Binance había bloqueado esta moneda falsa porque la dirección del remitente fue marcada como phishing y fraudulenta. Por supuesto, con mi fuerte conocimiento y comprensión de lo que estaba haciendo, lo agregué para probar este tipo de phishing! No recomiendo experimentar en absoluto – ¡estás a solo un clic de ser estafado!
3. Después de agregar el token a mi billetera, apareció con un valor = 0, un nombre desconocido y una cantidad enorme!
Fui a sitios de escaneo de blockchain para investigar la dirección del contrato que me envió estos tokens (fue enviado desde 3 direcciones diferentes).
Descubrí que la misma cantidad de tokens falsos había sido enviada a un gran número de billeteras, y afortunadamente para mí, yo era uno de ellos. ¿Por qué afortunadamente? Porque en realidad quería probar este método, comprenderlo de cerca y advertir a otros sobre ello. Y también – lo que es importante – descubrí quién fue la persona cercana que compartió la dirección de mi billetera! ¿Cómo? Llevo un registro de todas mis interacciones en blockchain con personas por varias razones, pero esto no era una de ellas 😂
Ahora, después de revisar las transacciones de la dirección del remitente y las direcciones que la financiaron, encontré un gran número de billeteras enviando tokens de phishing.
Asignan una pequeña cantidad de dinero para pagar la tarifa de la red y esperan hasta que alguien acepte estos tokens falsos (suponen que la persona intentará venderlos o enviarlos). En el momento en que la persona interactúa con el token, recibe una solicitud para "Aprobar" el token para enviarlo.
Y aquí yace el desastre: Cuando otorgas aprobación, le has dado permiso para acceder a tus fondos. Algunos contratos maliciosos permiten retiros ilimitados de la billetera. El resultado: Todo tu dinero puede ser retirado en segundos (o, el estafador podría no retirar inmediatamente pero mantiene el permiso para controlar tus fondos hasta que deposites grandes cantidades – los estafadores pueden esperar semanas o meses para obtener la mayor cantidad posible). Esto significa que el estafador se basa en tu curiosidad, codicia y falta de conocimiento.
Pero el punto importante aquí es monitorear las aprobaciones regularmente (debes revocar cualquier aprobación que no autorizaste o cualquier dApp que no habilitaste).
Y aquí llegamos a un sitio web que aparece como el nombre del token (#RedFlagAlert – no visites el sitio en absoluto).
Al abrir este sitio – que es 100% fraudulento – te pedirá que conectes tu billetera para reclamar una gran suma (para tentarte y nublar tu juicio) y luego te pedirá tus claves de billetera (recuerda: ningún sitio oficial pide nunca tus claves privadas o frase semilla – conectar una billetera a sitios se realiza a través de la aprobación dentro de la aplicación de billetera en sí).
Aquí, pasamos de la fraude a través de un contrato malicioso a la fraude a través del robo de las claves de tu billetera y acceso completo a tus activos.
Incluso si cometes algún error por ignorancia, aún puedes transferir tus activos si eres consciente y conoces la posibilidad de ser estafado. ¿Por qué? Porque los estafadores tienen un gran número de objetivos y, por lo tanto, siguen un cronograma periódico para verificar billeteras objetivo. Puedes darles tus claves, pero ninguna transferencia ocurre sin tu conocimiento – aquí tienes suerte porque tu turno aún no ha llegado 😂🤞🏻
4. Si tuviste cosas como estas, el mejor y más seguro enfoque es simple:
· Mantén presionado el token sospechoso en tu billetera
· Selecciona "Ocultar Token" o "Ignorar"
· Nunca interactúes con él de nuevo
🔶️ Por lo tanto, siempre debes ser cauteloso, monitorear las aprobaciones y considerar usar una billetera sin llave como la opción sin llave de Binance, ya que es más segura para el usuario. Y persigue el aprendizaje continuo – dirige tu curiosidad hacia temas y asuntos con los que no estés familiarizado, siempre. 👌🏻
