El estado de la seguridad en el espacio cripto y blockchain ha cambiado significativamente en los últimos meses. Los smart contracts tradicionales explotados o los hacks de fuerza bruta a redes blockchain están siendo superados por scams cripto como rug pulls y esquemas de pump-and-dump.
BeInCrypto habló con un portavoz de la firma de seguridad CertiK para entender cómo están evolucionando las amenazas en blockchain y seguridad, y cómo los proyectos y usuarios pueden protegerse contra futuros exploits.
Aumentan los hacks en redes sociales
En los últimos meses, la comunidad cripto ha visto un aumento en hacks relacionados con redes sociales. Esta tendencia cada vez más común se ha alejado de la orquestación de ataques más sofisticados a blockchain que tradicionalmente han plagado los titulares.
Mientras que los exploits de smart contracts o los hacks a blockchain requieren más conocimiento, los hackers han encontrado una vía más fácil al apuntar a cuentas de redes sociales:
“Las cuentas de redes sociales se han convertido en objetivos atractivos debido a su amplio alcance y la confianza que los seguidores depositan en los perfiles verificados. En comparación con los complejos ataques a blockchain, secuestrar una cuenta de redes sociales ofrece una manera más rápida y menos exigente técnicamente de difundir estafas a una audiencia masiva. La creciente frecuencia de tales brechas sugiere que los hackers se están enfocando más en la ingeniería social y el robo de credenciales en lugar de la explotación directa de blockchain”, dijo un portavoz de CertiK a BeInCrypto.
La accesibilidad del hacking en redes sociales ha ampliado, a su vez, el grupo de actores maliciosos capaces de realizar estos ataques:
“Esta tendencia también puede deberse, en parte, a una brecha de habilidades entre los actores maliciosos. Por ejemplo, el drainer-as-a-service ha abierto puertas a estafadores que no necesariamente entienden cómo manipular smart contracts. Muchos de estos estafadores son de la generación más joven, lo que significa que es más probable que hablen sobre sus actividades financieras en línea, lo que impulsa a más usuarios a intentar usar las redes sociales con fines maliciosos”, agregó el portavoz.
X (anteriormente Twitter) se ha convertido rápidamente en la plataforma de redes sociales preferida entre los hackers de Web3.
Las redes sociales son un objetivo de los hackers de Web3
Después de que el presidente de Estados Unidos, Donald Trump, lanzara su memecoin solo dos días antes de asumir el cargo, los hackers comenzaron a aprovechar el entusiasmo para hackear cuentas de alto perfil en X y convencer a los seguidores de invertir en memecoins de estafa.
El mes pasado, hackers anónimos tomaron el control de la cuenta de X del ex primer ministro de Malasia Mahathir Mohamad para promocionar MALAYSIA, una memecoin falsa promovida como la criptomoneda oficial del país. La publicación fue eliminada en una hora, pero el daño ya estaba hecho.
El análisis muestra que estos hackers probablemente estaban relacionados con el infame Russian Evil Corp y que robaron 1,7 millones de dólares en este rug pull:
“Dado que X es la aplicación de redes sociales cripto más popular, tiene sentido que las cuentas populares en la plataforma hayan sido atacadas para atraer a la mayor cantidad de víctimas”, dijo el portavoz de Certik.
La estafa del token MALAYSIA ocurrió solo dos semanas después de que hackers explotaran la cuenta de redes sociales del ex presidente brasileño Jair Bolsonaro. En ese caso, los estafadores promovieron el token BRAZIL, que subió más del 10,000% en minutos, obteniendo más de 1,3 millones de dólares para los estafadores. Estos scams también han afectado a empresas tecnológicas.
Ataques a empresas tecnológicas
En diciembre, la empresa de investigación y desarrollo de IA Anthropic también vio su cuenta de X hackeada. Una publicación fraudulenta afirmaba que un token falso llamado CLAUDE incentivaría proyectos de IA y cripto e incluía una dirección de monedero para inversores. Los hackers lograron recaudar 100,000 dólares de inversores especulativos:
“La tendencia es real y preocupante. Las brechas de cuentas pertenecientes a líderes globales y empresas tecnológicas destacan cómo los actores de amenazas están apuntando a plataformas con amplia influencia, utilizándolas para amplificar esquemas fraudulentos de cripto. Refleja un cambio en las tácticas donde las redes sociales se están convirtiendo en un vector principal para estafas relacionadas con cripto,” dijo el portavoz de CertiK a BeInCrypto.
Estas situaciones también destacan un problema más amplio de seguridad débil de cuentas en plataformas de redes sociales. Como resultado, incluso personas prominentes son susceptibles a brechas de seguridad que afectan directamente a la comunidad cripto.
El lanzamiento de la memecoin TRUMP fue catalizador
Después del lanzamiento de TRUMP, la frecuencia de estafas de ingeniería social se ha vuelto más evidente. En enero, el cofundador de Ethereum, Vitalik Buterin publicó un post catártico en redes sociales criticando a TRUMP y las memecoins:
“Ahora es el momento de hablar sobre el hecho de que las monedas políticas a gran escala cruzan una línea más: no son solo fuentes de diversión, cuyo daño se limita a errores cometidos por participantes voluntarios, son vehículos para sobornos políticos ilimitados, incluidos de estados nacionales extranjeros,” afirmó Buterin.
Buterin destacó el papel de los tokens en habilitar estafas y corrupción política en cripto y culpó a una laguna regulatoria que el ex presidente de la SEC, Gary Gensler, creó al permitir que actores malintencionados exploten tokens de gobernanza. Sin embargo, estas estafas cripto se extienden más allá de los temas políticos.
Crecimiento de los explotaciones de ingeniería social
Una semana después de que Buterin advirtiera contra las memecoins políticas, un usuario de Coinbase perdió 11,5 millones de dólares tras ser víctima de un scam de ingeniería social en Base. El investigador cripto ZackXBT descubrió el exploit, señalando que este incidente es parte de una tendencia, con múltiples usuarios de Coinbase sufriendo pérdidas similares.
También estima que las estafas cripto de esta naturaleza han drenado al menos 150 millones de dólares de los clientes de Coinbase:
“Coinbase tiene un problema serio de fraude. Acabo de descubrir muchos más robos recientes de usuarios de Coinbase. Los 150 millones de dólares robados a usuarios de Coinbase en un año son solo de robos que confirmé independientemente. Así que es más que probable que sean múltiplos de este número,” declaró ZachXBT.
En estafas de ingeniería social, los hackers utilizan correos electrónicos de phishing, llamadas falsificadas y otras tácticas engañosas para engañar a las víctimas y que revelen claves privadas o credenciales de inicio de sesión. Una vez que obtienen acceso, vacían monederos, mueven fondos y toman control de cuentas.
Para CertiK, estas situaciones estipulan la necesidad de medidas de seguridad más fuertes:
“Las plataformas de seguridad Web3 están adaptándose al expandir su enfoque más allá de las vulnerabilidades de smart contracts para incluir una detección de amenazas más amplia, particularmente en torno a los riesgos de ingeniería social. Muchas están integrando herramientas de monitoreo impulsadas por IA para señalar actividad inusual en cuentas, especialmente en redes sociales, y están educando a los usuarios sobre los peligros de las estafas de suplantación. El panorama de amenazas en evolución ha impulsado un enfoque más holístico de la seguridad, combinando defensas tradicionales de blockchain con salvaguardas de plataformas sociales,” dijo el portavoz.
Abordar estos desafíos de seguridad es crucial a medida que los nuevos proyectos cripto aumentan exponencialmente.
Priorizando la seguridad proactiva de rápido crecimiento
El sector Web3 está experimentando un crecimiento constante, marcado por un aumento en los lanzamientos de nuevos proyectos cripto. Se espera que este impulso innovador continúe, pero también está alimentando preocupaciones de seguridad.
Notablemente, la creciente tasa de scams y hacks en los primeros tres meses de 2025 deja claro que los esfuerzos de seguridad están luchando por mantenerse al día con la innovación.
Un estudio de Precedence Research estima que el mercado Web 3.0 se expandirá de 4,62 mil millones de dólares en 2025 a aproximadamente 99,75 mil millones de dólares para 2034, con una tasa de crecimiento anual compuesta (CAGR) proyectada del 41,18% durante ese período.
Sin embargo, CertiK cree que los desarrolladores de proyectos están relegando las consideraciones de seguridad al final de la lista de prioridades;
“A pesar del aumento de nuevos proyectos, la adherencia a los protocolos de auditoría adecuados sigue siendo inconsistente. Mientras que algunos proyectos priorizan auditorías exhaustivas de smart contracts, otros se apresuran al mercado, dejando de lado la seguridad para capitalizar las tendencias del mercado en un intento de generar ganancias rápidas”, dijo el portavoz de CertiK.
Es comprensible que el considerable aumento de proyectos Web3 dificulte que las empresas de seguridad mantengan el ritmo y la amplitud de la demanda:
“Aunque hay una creciente conciencia sobre la importancia de las auditorías, el ritmo de nuevos lanzamientos a menudo supera la capacidad de las empresas de seguridad, lo que lleva a tales brechas. En consecuencia, muchos proyectos son vulnerables a explotaciones, destacando la necesidad de requisitos de auditoría más estandarizados en todo el espacio”, concluyó el portavoz.
A medida que el ecosistema Web3 evoluciona, un enfoque de seguridad proactivo y adaptativo es crítico. Priorizar tanto la integridad del blockchain como la vigilancia en redes sociales será esencial para salvaguardar el creciente ecosistema Web3.
La lucha contra estas explotaciones requiere un futuro donde la seguridad no sea una idea de último momento, sino un pilar fundamental de cada proyecto Web3 e interacción de usuario.
Descargo de responsabilidad
Descargo de responsabilidad: siguiendo las pautas de Trust Project, este artículo presenta opiniones y perspectivas de expertos de la industria o individuos. BeInCrypto se dedica a la transparencia de los informes, pero las opiniones expresadas en este artículo no reflejan necesariamente las de BeInCrypto o su personal. Los lectores deben verificar la información de forma independiente y consultar con un profesional antes de tomar decisiones basadas en este contenido.
