A medida que la educación y adopción en cripto y finanzas descentralizadas (DeFi) avanza, los estafadores necesitan reinventarse para no quedarse obsoletos.
Hace un par de meses, MetaMask irrumpía en Twitter con un comunicado que ponía en alerta a toda su comunidad, donde ponía en manifiesto una nueva estafa emergente, las ¨Adress poisoning Scams¨, scams de envenenamiento de direcciones.
En un primer momento, la comunidad se hizo eco de la noticia, pero el sentimiento era de calma, ya que era muy difícil que un hacker pudiese reproducir la estafa a gran escala. Spoiler: Lo han conseguido y lo he comprobado en primera persona.
Se trata del scam más imprevisible e inteligente hasta la fecha contra MetaMask y sus usuarios, sobre todo los que tengan prisa o sean descuidados.
Para entender el scam, debemos saber que cada cuenta de MetaMask está compuesta una larga combinación de números y letras, algo que las hace ininteligibles y muy difíciles de recordar. Por eso, para no cometer errores, solemos fijarnos en los 4 primeros y 4 últimos caracteres de la cuenta a la hora de hacer transacciones.
El envenenamiento de direcciones explota esta tendencia de copiar y pegar direcciones fijándonos únicamente en cómo empiezan y cómo acaban. Es un hacks en el que los estafadores esperan a que la víctima realice una transacción entre cuentas. Una vez realizada, falsifican la dirección de destino para que la siguiente vez que la víctima envíe dinero se confunda. En mi caso, fue exactamente así:
- Envié USDT a una dirección. El dinero llegó y no hubo ningún problema. Este es el hash.
El envío fue registrado por los estafadores, que crearon una cuenta en Vanity ETH que coincidía con los 4 primeros y 4 últimos caracteres de la cuenta a la que envié el dinero.
- Los estafadores me enviaron 30 segundos después de mi envío una transacción con valor insignificante (0,00036$) desde la cuenta fraudulenta que crearon a partir de la original. Con esto consiguieron “envenenar” mi historial, ya que si no me doy cuenta, la próxima ve que envíe dinero a esa cuenta, podría copiar y pegar la “última” transacción que tengo con ella y enviar fondos por error a los estafadores.
Pie de foto: Las dos transacciones simultáneas. En verde los caracteres semejantes, en rojo los caracteres NO coincidentes.
¿Cómo protegernos?
MetaMask indica que es imposible evitar que las personas (incluidos estafadores) envíen transacciones a la dirección que quieran, ya que al interactuar con la blockchain, cualquiera puede realizar las transacciones que desee.
Sin embargo, podemos protegernos de estas y otras prácticas con estos consejos:
- Verificar las direcciones antes de enviar dinero. No cuesta nada copiar y pegar las direcciones en una nota de texto para compararlas.
- No copies direcciones del historial de transacciones de Metamask para reutilizarlas.
- Usa un monedero frío. Las Cold Wallets como Ledger son una barrera más contra los scams. En este caso, muchas de ellas obligan a verificar la dirección completa de envío.
- Agrega direcciones de uso frecuente a MetaMask. Ve a “Configuración” y a “Contactos”, donde puedes guardar direcciones y reutilizarlas para no depender de copiar y pegar cada vez que envíes dinero.
- Usa transacciones de prueba. Yo lo hago siempre, envío una cantidad ínfima de dinero a una dirección para confirmar que llega antes de enviar una transacción mayor.
Sobre el autor: Javier de la Hoz
Javier de la Hoz es experto en Web 3.0, criptomonedas, exchanges y blockchain. Es Crypto Marketing Manager en GuGo y Binance Angel. Invierte en crypto desde 2017 y es profesor de Crypto, Metaverso y Blockchain en la Universidad Complutense de Madrid y ELLE Education. Colabora en Intereconomía, en el programa Myconomy y es advisor de varios proyectos españoles de Blockchain, NFTs y Gaming.
¿Tienes algo que decir sobre estafas cripto, scams y hacks en la Web 3.0 o cualquier otra tema? Escríbenos o únete al debate en nuestro canal de Telegram. También puedes encontrarnos en Instagram, Linkedin, YouTube, Tik Tok, Facebook o Twitter.
Las opiniones publicadas en BeInCrypto no deben determinar ninguna decisión financiera de los lectores, son opiniones personales del autor.
Trusted
Descargo de responsabilidad
Descargo de responsabilidad: De conformidad con las pautas de Trust Project, este artículo de opinión presenta la perspectiva del autor y puede no reflejar necesariamente los puntos de vista de BeInCrypto. BeInCrypto sigue comprometido con la transparencia de los informes y la defensa de los más altos estándares periodísticos. Se recomienda a los lectores que verifiquen la información de forma independiente y consulten con un profesional antes de tomar decisiones basadas en este contenido.
