Resumen

• La mayoría de los usuarios de Cripto no son hackeados a través de exploits complejos, sino que son hackeados al hacer clic, firmar o confiar en lo incorrecto. Este informe desglosa cómo ocurren esos fracasos cotidianos.
• Desde kits de phishing y drenadores de billeteras hasta malware y estafas de soporte falso, la mayoría de los ataques se dirigen a los usuarios directamente, no a los protocolos, haciendo que el hilo común sea el contexto humano, no el código.
• Este informe describe lo básico de los exploits cripto en lo que respecta a los usuarios individuales, cubriendo una lista de exploits comunes, así como ejemplos de la vida real y qué tener en cuenta.

1. Necesitas saber: Eres la superficie de ataque

Cripto es autocustodial por diseño. Esa es la característica. Pero este atributo fundamental, que es central a los valores de la industria, a menudo puede convertirte a ti, el usuario, en un único punto de fallo. En muchos casos de individuos que pierden sus fondos en cripto, no es un error en el protocolo: es un clic. Un DM. Una aprobación. Un momento de confianza o descuido al realizar una tarea cotidiana aparentemente no trascendental que puede alterar el curso de las experiencias de uno en cripto.

Este informe no es un libro blanco técnico ni una revisión de la lógica de los contratos inteligentes, sino más bien un modelo de amenazas para individuos. Un desglose de cómo los usuarios son explotados en la práctica y qué hacer al respecto. El informe se centrará en las explotaciones a nivel personal: phishing, aprobaciones de billetera, ingeniería social, malware. También cubrirá brevemente los riesgos a nivel de protocolo al final para dar un esquema del espectro de explotaciones que ocurren en cripto.

2. El libro de jugadas de explotación completo (en cierta medida)

La naturaleza permanente e irreversible de las transacciones que ocurren en entornos sin permisos, a menudo sin la intervención de intermediarios, combinada con el hecho de que los usuarios individuales son responsables de interactuar con contrapartes anónimas en los mismos dispositivos y navegadores que almacenan activos financieros, convierte a cripto en un terreno de caza único para hackers y otros criminales. A continuación se presenta una lista extensa de los tipos de exploits que las personas pueden enfrentar, pero los lectores deben ser conscientes de que, aunque esta lista cubre la mayoría de los exploits, no es exhaustiva. La lista puede ser abrumadora para aquellos que no están familiarizados con cripto, pero una buena parte de estos son exploits "regulares" que han ocurrido durante bastante tiempo en la era de internet y no son exclusivos de esta industria. El §3 cubrirá algunos métodos clave de exploits en detalle.

2.1 Ataques de Ingeniería Social

Ataques que se basan en la manipulación psicológica para engañar a las personas y comprometer su seguridad.

• Phishing: Correos electrónicos, mensajes o sitios falsos imitan plataformas reales para robar credenciales o frases semilla (más en §3).
• Estafas de suplantación: Los atacantes se hacen pasar por influencers, líderes de proyectos o soporte al cliente para ganar confianza y extraer fondos o información sensible.
• Estafas de Frases Semilla: Los usuarios son engañados para revelar frases de recuperación a través de herramientas de recuperación falsas o sorteos.
• Airdrops falsos: Atraer a los usuarios con tokens gratuitos para incitar interacciones inseguras con la billetera o el intercambio de claves privadas.
• Ofertas de Trabajo Falsas: Disfrazadas de oportunidades laborales pero destinadas a instalar malware o recolectar datos sensibles.
• Esquemas de Pump-and-Dump: Esfuerzos coordinados socialmente para hypear y vender tokens a participantes minoristas desprevenidos.

Figura 1: Las consecuencias de la ingeniería social pueden ser muy graves
Fuente: Cointelegraph

2.2 Telecom y Toma de Control de Cuenta

Explotar la infraestructura de telecomunicaciones o las debilidades a nivel de cuenta para eludir la autenticación.

• Intercambio de SIM: Los atacantes secuestran el número de móvil de una víctima para interceptar códigos de 2FA y restablecer las credenciales de la cuenta (más en §3).
• Credential Stuffing: Reutilizando credenciales filtradas de brechas para acceder a billeteras o cuentas de intercambio.
• Evasión de 2FA: Explotando la autenticación débil o basada en SMS para obtener acceso no autorizado.
• Secuestro de sesión: Robar sesiones de navegador a través de malware o redes no seguras para hacerse cargo de cuentas iniciadas.

Figura 2: Un Tweet falso de la SEC a través de un intercambio de SIM
Fuente: Twitter

2.3 Malware y Explotación de Dispositivos

Comprometer el dispositivo del usuario para extraer el acceso a la billetera o manipular transacciones (más en §3).

• Keyloggers: Registran pulsaciones de teclas para robar contraseñas, PINs y frases semilla.
• Secuestradores de Portapapeles: Reemplazar las direcciones de cartera pegadas por las controladas por el atacante.
• Troyanos de Acceso Remoto (RATs): Permiten a los atacantes tener control total de la máquina de la víctima, incluyendo los monederos.
• Extensiones de Navegador Maliciosas: Las extensiones comprometidas o falsas roban datos o manipulan transacciones.
• Carteras o aplicaciones falsas: Aplicaciones falsificadas (móviles o de navegador) que drenan fondos al usarse.
• Ataques de Hombre en el Medio (MITM): Interceptar y modificar la comunicación entre el usuario y el servicio, especialmente en redes inseguras.
• Ataques a Wi-Fi no seguro: El Wi-Fi público o comprometido permite la interceptación de datos sensibles durante inicios de sesión o transferencias.

Figura 3: Las carteras falsas son una estafa común que apunta a los usuarios principiantes de cripto
Fuente: cryptorank

2.4 Explotaciones a Nivel de Billetera

Ataques dirigidos a cómo los usuarios gestionan o interactúan con billeteras e interfaces de firma.

• Aprobaciones de drenaje: los contratos inteligentes maliciosos explotan las aprobaciones de tokens anteriores para drenar tokens.
• Ataques de Firma Ciega: Los usuarios firman cargas útiles obscuras que resultan en la pérdida de fondos (por ejemplo, desde billeteras de hardware).
• Robo de Frases Semilla: Exfiltración de frases de recuperación a través de malware, phishing o mala higiene de almacenamiento.
• Claves Privadas Comprometidas: Almacenamiento inseguro (por ejemplo, en unidades en la nube o notas en texto plano) que lleva a la filtración de claves.
• Carteras de Hardware Comprometidas: Dispositivos manipulados o falsificados filtren claves privadas a los atacantes.

2.5 Riesgos de Contrato Inteligente y a Nivel de Protocolo

Riesgos derivados de interacciones con código on-chain malicioso o vulnerable.

• Contratos Inteligentes Perversos: Lógica maliciosa oculta que drena fondos cuando se interactúa con ellos.
• Ataques de Préstamos Rápidos: Explotaciones que utilizan préstamos no colateralizados para manipular precios o la lógica del protocolo.
• Manipulación de Oracle: El atacante distorsiona las fuentes de precios para explotar los protocolos que dependen de datos defectuosos.
• Estafas de Liquidez de Salida: Los creadores diseñan tokens/grupos donde solo ellos pueden retirar valor, dejando a los usuarios atrapados.
• Ataques Sybil: Las identidades falsas distorsionan los sistemas descentralizados, particularmente la gobernanza o la elegibilidad para airdrops.

Figura 4: Un préstamo relámpago fue responsable de uno de los mayores exploits de DeFi
Fuente: Elliptic

2.6. Estafas de Manipulación de Proyectos y Mercados

Estafas relacionadas con la estructura de tokens, proyectos DeFi, o colecciones de NFT.

• Rug Pulls: Los fundadores del proyecto desaparecen después de recaudar capital, dejando tokens sin valor.
• Proyectos falsos: Colecciones engañosas atraen a los usuarios a participar en estafas de acuñación o a firmar transacciones perjudiciales.
  Ataques de polvo: Transferencias de tokens minúsculos utilizadas para desanonimizar billeteras e identificar objetivos para phishing o estafas.

2.7. Ataques a la Web & Infraestructura

Explotando la infraestructura a nivel de front-end o DNS en la que los usuarios confían.

• Secuestros de Front-End / Suplantación de DNS: Los atacantes redirigen a los usuarios a interfaces maliciosas para robar credenciales o incitar a transacciones inseguras.
• Explotaciones de puentes: Hacks de puentes entre cadenas que comprometen los fondos de los usuarios durante la transferencia.

2.8. Amenazas físicas

Riesgos del mundo real que involucran coerción, robo o vigilancia.

• Ataque de llave inglesa de $5: Las víctimas son coaccionadas físicamente para transferir fondos o revelar frases iniciales.
• Robo físico: Se roban dispositivos o copias de seguridad (por ejemplo, billeteras de hardware, cuadernos) para obtener acceso.
• Shoulder Surfing: Observar o grabar a los usuarios ingresando datos sensibles en entornos públicos o privados.

Figura 5: Desafortunadamente, las amenazas físicas han sido comunes
Fuente: The New York Times

3. Explotaciones Clave a Tener en Cuenta

Algunos exploits ocurren más que otros. Aquí hay tres exploits que las personas que poseen o interactúan con cripto deberían conocer, incluyendo cómo prevenirlos. Se enumerará una agregación de técnicas de prevención y características clave a tener en cuenta al final de la sección, ya que hay superposiciones entre los diversos métodos de exploit.

3.1 Phishing (Incluyendo Carteras Falsas y Airdrops)

El phishing precede al cripto por décadas y el término surgió en la década de 1990 para describir a los atacantes que "pescan" información sensible, generalmente credenciales de inicio de sesión, a través de correos electrónicos y sitios web falsos. A medida que el cripto surgió como un sistema financiero paralelo, el phishing evolucionó naturalmente para atacar frases semilla, claves privadas y autorizaciones de billetera, es decir, los equivalentes cripto de "control total".

El phishing de Cripto es especialmente peligroso porque no hay recurso: no hay devoluciones, no hay protección contra el fraude y no hay soporte al cliente que pueda revertir una transacción. Una vez que tu clave es robada, tus fondos están prácticamente perdidos. También es importante recordar que el phishing a veces es solo el primer paso en un exploit más amplio, haciendo que el verdadero riesgo no sea la pérdida inicial, sino la larga serie de compromisos que siguen; por ejemplo, las credenciales comprometidas pueden permitir que un atacante se haga pasar por la víctima y estafe a otros.

¿Cómo funciona el phishing?

En su esencia, el phishing explota la confianza humana al presentar una versión falsa de una interfaz de confianza, o al hacerse pasar por alguien autoritario, para engañar a los usuarios y que estos entreguen voluntariamente información sensible o aprueben acciones maliciosas. Hay varios vectores de entrega principales:

• Sitios web de phishing
  • Versiones falsas de billeteras (por ejemplo, MetaMask, Phantom), intercambios (por ejemplo, Binance) o dApps.
  • A menudo promovido a través de anuncios de Google o compartido en grupos de Discord/Twitter, diseñado para parecer idéntico al sitio real, pixel por pixel.
  • Los usuarios pueden ser invitados a "importar una billetera" o "recuperar fondos", cosechando su frase semilla o clave privada.
• Correos Electrónicos & Mensajes de Phishing
  • Parece comunicación oficial (por ejemplo, "actualización de seguridad urgente" o "cuenta comprometida").
  • Incluya enlaces a portales de inicio de sesión falsos o diríjase a interactuar con tokens o contratos inteligentes maliciosos.
  • Común en Telegram, Discord, DMs de Twitter e incluso SMS.
• Carteras Falsas o Extensiones de Navegador
  • Disponible en las tiendas de aplicaciones o como extensiones de Chrome.
  • Imitan funcionalmente las billeteras reales, pero envían su clave privada o datos de transacción a los atacantes.
  • Algunos incluso te permiten transferir fondos solo para ser drenados minutos después.
• Estafas de Airdrop
  • Caídas de tokens falsos enviados a carteras (especialmente en cadenas EVM).
  • Hacer clic en el token o intentar comerciar con él provoca una interacción con un contrato malicioso.
  • Puede solicitar de manera sigilosa aprobaciones de tokens ilimitadas o robar su token nativo a través de una carga útil firmada.

Figura 6: Siempre ten cuidado cuando veas "gratis" en cripto
Fuente: Presto Research

Ejemplos de phishing
El hackeo de Atomic Wallet de junio de 2023, atribuido al Grupo Lazarus de Corea del Norte, se considera uno de los ataques de phishing puro más destructivos en la historia del cripto. Condujo al robo de más de 100 millones de dólares en criptomonedas al comprometer más de 5,500 billeteras no custodiales sin requerir que los usuarios firmaran transacciones maliciosas o interactuaran con contratos inteligentes. Este ataque se centró únicamente en la extracción de frases semilla y claves privadas a través de interfaces engañosas y malware - un ejemplo de manual del robo de credenciales basado en phishing.
Atomic Wallet es una billetera no custodial y multichain que admite más de 500 Criptomonedas. En este incidente, los atacantes lanzaron una campaña de phishing coordinada que explotó la confianza que los usuarios depositaron en la infraestructura de soporte de la billetera, los procesos de actualización y la identidad de la marca. Las víctimas fueron atraídas a través de correos electrónicos, sitios web falsos y actualizaciones de software trojanizadas, todo diseñado para imitar comunicaciones legítimas de Atomic Wallet.

Los vectores de phishing incluidos:

• Correos electrónicos falsos que se hacen pasar por soporte de Atomic Wallet o alertas de seguridad, instando a una acción urgente.
• Sitios web falsificados (por ejemplo, atomic-wallet[.]co) que imitaba la interfaz de recuperación de la billetera o de reclamación de recompensas.
• Actualizaciones maliciosas distribuidas a través de Discord, correo electrónico y foros comprometidos, que dirigían a los usuarios a páginas de phishing o extraían credenciales a través de malware local.

Una vez que los usuarios ingresaron sus frases semilla de 12 o 24 palabras o claves privadas en estas interfaces fraudulentas, los atacantes obtuvieron acceso total a sus billeteras. Esta explotación no involucró ninguna interacción en la cadena por parte de la víctima: no conexión de billetera, no solicitudes de firma y ninguna participación de contratos inteligentes. En cambio, se basó completamente en la ingeniería social y la disposición del usuario para restaurar o verificar su billetera en lo que parecía ser una plataforma de confianza.

3.2 Drenadores de Monederos y Aprobaciones Maliciosas

Un drainer de billetera es un tipo de contrato inteligente malicioso o dApp diseñado para extraer activos de tu billetera, no robando tu clave privada, sino engañándote para que autorices el acceso a tokens o firmes transacciones peligrosas. A diferencia del phishing, que busca tus credenciales, los drainers explotan permisos: el mecanismo elemental de confianza que impulsa Web3.

A medida que las aplicaciones DeFi y Web3 se volvieron convencionales, billeteras como MetaMask y Phantom popularizaron la idea de “conectarse” a dApps. Esto trajo conveniencia, pero también una enorme superficie de ataque. En 2021–2023, los drenadores de aprobación explotaron en popularidad a través de acuñaciones de NFT, airdrops falsos y dApps que fueron retiradas, que comenzaron a incrustar contratos maliciosos en interfaces familiares. Los usuarios, a menudo emocionados o distraídos, conectaban su billetera y hacían clic en “Aprobar” sin darse cuenta de lo que estaban autorizando.

¿Cómo es esto diferente del phishing?
El phishing implica engañar a alguien para que revele voluntariamente credenciales sensibles, como una frase semilla, contraseña o clave privada. Conectar tu billetera no revela tus claves o frases, ya que no estás entregando secretos, estás firmando transacciones o otorgando permisos. Estos exploit ocurren a través de la lógica de los contratos inteligentes, no por el robo de tus credenciales, lo que los hace mecánicamente diferentes del phishing. Estás autorizando el drenaje, a menudo sin darte cuenta, lo que se asemeja más a una "trampa de consentimiento" que al robo de credenciales.
Puedes pensar en el phishing como basado en CREDENCIALES y los drenes de billetera / aprobaciones maliciosas como basados en PERMISOS.

La mecánica del ataque
Las aprobaciones maliciosas explotan los sistemas de permisos en estándares de blockchain como ERC-20 (tokens) y ERC-721/ERC-1155 (NFTs). Engañan a los usuarios para que otorguen a los atacantes acceso continuo a sus activos.

• Fundamentos de la aprobación de tokens:
  • Tokens ERC-20: La función approve(address spender, uint256 amount) permite a un “spender” (por ejemplo, una DApp o un atacante) transferir una cantidad específica de tokens desde la billetera del usuario.
  • NFTs: La función setApprovalForAll(address operator, bool approved) otorga a un "operador" permiso para transferir todos los NFTs en una colección.
  • Estas aprobaciones son estándar para DApps (por ejemplo, Uniswap necesita aprobación para intercambiar tokens), pero los atacantes las explotan maliciosamente.
• Cómo los atacantes obtienen aprobación:
  • Prompts engañosos: Un sitio de phishing o una DApp comprometida solicita al usuario que firme una transacción etiquetada como "conexión de billetera", "intercambio de tokens" o "reclamación de NFT". La transacción en realidad llama a approve o setApprovalForAll para la dirección del atacante.
  • Aprobaciones ilimitadas: Los atacantes a menudo solicitan asignaciones de tokens ilimitadas (por ejemplo, uint256.max) o setApprovalForAll(true), dándoles control total sobre los tokens o NFT del usuario.
  • Firma Ciega: Algunas DApps requieren firmar datos opacos, lo que dificulta detectar aprobaciones maliciosas. Incluso con billeteras de hardware como Ledger, los detalles mostrados pueden parecer benignos (por ejemplo, “Aprobar Cripto”) pero ocultan la intención del atacante.
• Explotación:
  • Robo inmediato: El atacante utiliza la aprobación para transferir tokens/NFTs a su billetera justo después de la transacción.
  • Robo retardado: El atacante espera (a veces semanas o meses) para drenar activos, reduciendo la sospecha. Por ejemplo, un atacante con setApprovalForAll puede transferir NFTs siempre que quiera.
  • Ataques masivos: Los drenadores como Angel Drainer escanean aprobaciones a través de múltiples billeteras y las drenan en bloque durante los pumps del mercado o lanzamientos de NFT de alto valor.

Ejemplos de drenadores de billetera / aprobaciones maliciosas
El fraude Monkey Drainer, activo principalmente en 2022 y principios de 2023, fue un notorio kit de herramientas de phishing "drainer-as-a-service" responsable de robar millones en cripto (incluyendo NFTs) a través de sitios web engañosos y contratos inteligentes maliciosos. A diferencia del phishing tradicional, que se basa en cosechar frases semilla o contraseñas de los usuarios, Monkey Drainer operaba a través de firmas de transacción maliciosas y abuso de contratos inteligentes, permitiendo a los atacantes extraer tokens y NFTs sin comprometer credenciales directamente. Al engañar a los usuarios para que firmaran aprobaciones on-chain peligrosas, Monkey Drainer permitió más de $4.3 millones en robos en cientos de billeteras antes de su cierre a principios de 2023.

Figura 7: El famoso detective en cadena ZachXBT descubre estafas de Monkey Drainer
Source: Twitter (@zachxbt)

El kit era popular entre los atacantes de baja habilidad y se comercializaba ampliamente en comunidades subterráneas de Telegram y la dark web. Permitía a los afiliados clonar sitios de acuñación falsos, suplantar proyectos reales y configurar el backend para redirigir transacciones firmadas a un contrato centralizado de drenaje. Estos contratos fueron diseñados para explotar permisos de tokens, confiando en que los usuarios firmaran sin darse cuenta mensajes que otorgaban a la dirección del atacante acceso a los activos a través de funciones como setApprovalForAll() (NFTs) o permit() (tokens ERC-20).

Notablemente, el flujo de interacción evitó el phishing directo: a las víctimas no se les pidió sus claves privadas o frases semilla. En su lugar, interactuaron con dApps aparentemente legítimas, a menudo en páginas de acuñación con cuentas regresivas o marcas exageradas. Una vez conectados, se les pedía a los usuarios que firmaran una transacción que no entendían completamente, a menudo enmascarada por un lenguaje de aprobación genérico o la ofuscación de la interfaz de usuario de la billetera. Estas firmas no transferían fondos directamente, sino que autorizaban al atacante a hacerlo en cualquier momento. Con los permisos otorgados, el contrato drenador podía ejecutar retiros por lotes en un solo bloque.

Una característica del método Monkey Drainer era su ejecución retrasada: los activos robados a menudo eran drenados horas o días después, para evitar sospechas y maximizar el rendimiento. Esto lo hacía particularmente efectivo contra usuarios con grandes billeteras o actividad comercial activa, cuyas aprobaciones se mezclaban con los patrones de uso normales. Las víctimas de alto perfil incluían coleccionistas de NFT que perdieron activos de proyectos como CloneX, Bored Apes y Azuki.

Aunque Monkey Drainer cesó operaciones en 2023, presumiblemente para "mantener un perfil bajo", la era de los drainer de billeteras sigue evolucionando, planteando una amenaza persistente para los usuarios que malinterpretan o subestiman el poder de una aprobación en cadena.

3.3 Malware & Explotaciones de Dispositivos

Finalmente, ‘malware y exploits de dispositivos’ se refieren a una amplia y versátil gama de ataques que abarcan varios vectores de entrega que tienen como objetivo comprometer la computadora, el teléfono o el navegador de un usuario, típicamente a través de software malicioso instalado mediante engaño. El objetivo suele ser robar información sensible (por ejemplo, frases semilla, claves privadas), interceptar interacciones de billetera o dar al atacante control remoto del dispositivo de la víctima. En cripto, estos ataques a menudo comienzan con ingeniería social, como una oferta de trabajo falsa, una actualización de app fraudulenta o un archivo enviado a través de Discord, pero rápidamente escalan a una compromisión del sistema a gran escala.

El malware ha existido desde los primeros días de la computación personal. En contextos tradicionales, se utilizaba para robar información de tarjetas de crédito, recopilar inicios de sesión o secuestrar sistemas para spam o ransomware. A medida que el cripto ganó terreno, los atacantes cambiaron de enfoque: en lugar de dirigirse a credenciales de banca en línea (que se pueden revertir), ahora buscan robar activos cripto irreversibles.

Cómo Comienzan Estos Ataques… El Ángulo de Ingeniería Social

La mayoría del malware no se propaga de forma aleatoria: requiere que la víctima sea engañada para ejecutarlo. Aquí es donde entra en juego la ingeniería social.

Métodos de Entrega Comunes:

• Ofertas de trabajo falsas: La víctima se postula para un trabajo falso en Web3, recibe un "examen técnico" o un "enlace de entrevista" que contiene malware.
• Enlaces de Discord o Telegram: Enviados como "herramientas de sorteos", "capturas de pantalla" o archivos de soporte falsos.
• Adjuntos de correo electrónico: currículum, libro blanco o formatos de factura (PDF, .docx, .exe) que contienen código malicioso.
• Actualizaciones falsas: Ventanas emergentes o sitios falsificados que ofrecen "última versión de MetaMask/Phantom".
• Descargas por impulso: Simplemente visitar un sitio puede activar una carga en segundo plano, especialmente en navegadores desactualizados.

El hilo común: El atacante crea un contexto creíble que convence al usuario de hacer clic, descargar o abrir algo peligroso.

Tipos de Malware Comunes en Explotaciones Cripto

• Keyloggers: Graban cada pulsación de tecla, incluyendo frases semilla, contraseñas y PINs. Especialmente peligrosos si el usuario escribe su frase semilla en un editor de texto, inicio de sesión en un intercambio o campo de recuperación de billetera.
• Secuestradores de portapapeles: Monitorean las direcciones de billetera copiadas y las reemplazan con la dirección del atacante al pegarlas. Las víctimas a menudo no se dan cuenta y envían fondos, pensando que pegaron su propia dirección, pero ya ha sido cambiada.
• Troyanos de Acceso Remoto (RATs): Otorgan al atacante control total sobre el dispositivo de la víctima. Esto incluye leer archivos, ver pantallas, capturar sesiones de navegador e incluso exportar frases semilla directamente desde aplicaciones de billetera como Exodus o billeteras basadas en navegador.
• Carteras o aplicaciones falsas: Parecen carteras legítimas pero están precargadas con código malicioso. Comunes en sitios de APK de Android o tiendas de extensiones de Chrome. Algunas parecen funcionales hasta que envías fondos o restauras una semilla, momento en el que los fondos son exfiltrados.
• Extensiones de Navegador Maliciosas: Comprometer o imitar extensiones de cripto reales para monitorear la actividad, inyectar cargas maliciosas o solicitar falsos pedidos de firma. A menudo piden permisos extensos bajo la apariencia de "integración de billetera".
• Infraestructura Man-in-the-Middle (MITM): El malware configura un proxy o un secuestro de DNS para interceptar y manipular el tráfico entre tú y la web, incluyendo el intercambio de direcciones o la redirección de transacciones firmadas.

Ejemplo: La estafa laboral de Axie Infinity 2022

La estafa laboral de Axie Infinity de 2022, que condujo al masivo hackeo del Ronin Bridge, es un ejemplo primordial de malware y explotación de dispositivos en el espacio cripto, impulsado por una ingeniería social sofisticada. Este ataque, atribuido al grupo Lazarus patrocinado por el estado norcoreano, resultó en el robo de aproximadamente $620 millones en criptomonedas, convirtiéndose en uno de los mayores hacks de finanzas descentralizadas (DeFi) hasta la fecha.

Figura 8: La explotación de Axie Infinity llegó a los medios de TradFi
Fuente: Bloomberg TV

El hackeo fue una operación de múltiples etapas que combinó ingeniería social, implementación de malware y explotación de vulnerabilidades en la infraestructura de blockchain.

Los hackers, haciéndose pasar por reclutadores de una empresa ficticia, dirigieron su atención a los empleados de Sky Mavis a través de LinkedIn: Sky Mavis es la compañía detrás de la Red Ronin, una sidechain vinculada a Ethereum que impulsa Axie Infinity, un popular juego de blockchain de jugar para ganar. En ese momento, Ronin y Axie Infinity tenían capitalizaciones de mercado respectivas de alrededor de $300 millones y $4 mil millones.

Se acercaron a varios empleados, pero un ingeniero senior se convirtió en el objetivo principal con el que los atacantes realizaron múltiples rondas de entrevistas de trabajo falsas para generar confianza, ofreciendo un paquete de compensación extremadamente generoso para atraer al ingeniero. Los atacantes enviaron un documento PDF, disfrazado como una oferta de trabajo formal, al ingeniero. El ingeniero, creyendo que era parte del proceso de contratación, descargó y abrió el archivo en una computadora de la empresa. El PDF contenía un RAT que infectó el sistema del ingeniero al abrirlo, otorgando a los hackers acceso a los sistemas internos de Sky Mavis, probablemente a través de escalada de privilegios o movimiento lateral dentro de la red. Esta violación proporcionó un punto de apoyo para atacar la infraestructura de la Red Ronin.

La mecánica del hackeo que continuó explotando el puente Ronin y el DAO de Axie está más allá del alcance de este artículo de investigación; sin embargo, esta explotación resultó en un robo de $620 millones (173,600 ETH y 25.5MM USDC) con solo $30 millones recuperados.

4. Cómo Protegerse

Los intentos de explotación son cada vez más sofisticados, pero aún dependen de señales reveladoras. Las banderas rojas incluyen:

• “Importa tu billetera para reclamar X”: Ningún servicio legítimo te pedirá tu frase semilla.
• Mensajes directos no solicitados: Especialmente aquellos que ofrecen apoyo, dinero o ayuda con un problema sobre el que no preguntaste.
• Dominios ligeramente mal escritos: Por ejemplo, metamask.io vs metarnask.io.
• Google Ads: Los enlaces de phishing aparecen con frecuencia por encima del enlace real en los resultados de búsqueda.
• Ofertas demasiado buenas para ser verdad: Como promociones de “reclama 5 ETH” o “duplica tus monedas”.
• Urgencia o tácticas de miedo: “Tu cuenta ha sido bloqueada”, “Reclama ahora o perderás fondos”.
• Aprobaciones de Token Ilimitadas: Los usuarios deben establecer las cantidades de tokens ellos mismos.
• Solicitudes de Firmado Ciego: Cargas útiles hexadecimales sin explicación legible.
• Contratos no verificados u oscuros: Si un token o dApp es nuevo, verifica lo que estás aprobando.
• Urgentes mensajes de interfaz: tácticas de presión clásicas como “Debes firmar esto ahora o te perderás de esto”.
• Ventanas emergentes de firma de MetaMask: Especialmente con cargas útiles poco claras, transacciones sin gas o una mezcla de llamadas a funciones que no entiendes.

Más reglas de OpSec (seguridad operativa):

• Reglas de oro
  • Nunca compartas tu frase semilla con nadie, por ninguna razón.
  • Marca sitios oficiales: Siempre navega directamente. Nunca uses motores de búsqueda para billeteras o intercambios.
  • No hagas clic en tokens de airdrop aleatorios: Especialmente si no te inscribiste.
  • Evita DMs no solicitados: Los proyectos legítimos RARA VEZ envían DM primero… (Excepto cuando lo hacen)
  • Usa carteras de hardware: Reducen el riesgo de firma ciega y previenen la exposición de claves.
  • Habilitar herramientas de protección contra phishing: Utiliza extensiones como PhishFort, Revoke.cash y bloqueadores de anuncios.
  • Usa exploradores de solo lectura: Herramientas como Etherscan Token Approvals o Revoke.cash muestran qué permisos tiene tu billetera.
  • Usa billeteras desechables: Crea una billetera nueva con fondos cero~pocos para probar los minteos o enlaces primero. Esto minimizará cualquier pérdida.
  • Segmenta tus activos: No tengas todos tus activos en una sola ubicación.
• Prácticas Avanzadas Para El Usuario Cripto Experimentado
  • Utiliza un dispositivo o perfil de navegador dedicado para la actividad cripto; además, puedes tener un dispositivo dedicado para abrir enlaces y mensajes directos.
  • Revisa las etiquetas de advertencia de tokens de Etherscan: Muchos tokens de estafa están señalizados.
  • Verificar las direcciones de los contratos en referencia con los anuncios oficiales del proyecto.
  • Inspecciona las URL con cuidado: Especialmente en correos electrónicos y chats, los errores tipográficos sutiles son comunes. Muchas aplicaciones de mensajería y, por supuesto, sitios web permiten el hipervínculo; esto permite que alguien haga esto:www.google.com (está bien, puedes hacer clic en el enlace).
  • Cuidado con lo que firmas: Siempre decodifica las transacciones (por ejemplo, a través de MetaMask, Rabby o un simulador) antes de confirmar.

5. Palabra Final

La mayoría de los usuarios piensan en los exploits en cripto como algo técnico e inevitable, particularmente aquellos que son nuevos en la industria. Si bien eso puede ser cierto para métodos de ataque complejos, muchas veces el paso inicial tiene como objetivo al individuo de maneras no técnicas, lo que hace que el resto del exploit sea prevenible.

La gran mayoría de las pérdidas personales en este espacio no provienen de algún nuevo error de día cero o de un protocolo obscuro, sino más bien de personas que firman cosas que no leyeron o importan billeteras en aplicaciones falsas, o confían en un DM que parece lo suficientemente plausible. Las herramientas pueden ser nuevas, pero las tácticas son tan antiguas como el tiempo: engaño, urgencia, distracción.

Las personas vienen al cripto por la autocustodia y la naturaleza sin permisos, pero los usuarios deben recordar que aquí los riesgos son mayores; en las finanzas tradicionales, te estafan y llamas al banco. En cripto, te estafan y esa es la historia.

Aviso legal:

1. Este artículo es reimpreso de [Investigación Presto] . Todos los derechos de autor pertenecen al autor original [Investigación Presto]. Si hay objeciones a esta reimpresión, por favor contacte al Gate Learn equipo, y ellos se encargarán de ello de manera rápida.
2. Descargo de responsabilidad: Las opiniones y puntos de vista expresados en este artículo son únicamente del autor y no constituyen ningún consejo de inversión.
3. Las traducciones del artículo a otros idiomas son realizadas por el equipo de Gate Learn. A menos que se mencione, copiar, distribuir o plagiar los artículos traducidos está prohibido.