Los estafadores utilizaron un servicio de drenaje de billeteras llamado "MS Drainer" para robar aproximadamente USD 59 millones en criptomonedas de las víctimas en los últimos nueve meses, según un informe del 21 de diciembre en X (anteriormente Twitter) de la plataforma de seguridad blockchain; Scam Sniffer. Los estafadores utilizaron Google Ads para dirigirse a las víctimas con versiones falsas de sitios web populares de criptomonedas, incluidos Zapper, Lido, Stargate, DefiLlama, Orbiter Finance y Radient, según el informe.

Los wallet drainers son protocolos blockchain que permiten a los estafadores transferir criptomonedas de una víctima al atacante sin su consentimiento, generalmente explotando el proceso de aprobación de tokens. Normalmente, los desarrolladores cobran un porcentaje de las ganancias a cambio de utilizar su software drainer, y esta tarifa se aplica mediante contratos inteligentes, lo que hace imposible evitarla.

Scam Sniffer tuvo conocimiento de MS Drainer por primera vez en marzo. En ese momento, el equipo de la plataforma de seguridad Slowmist ayudó con la investigación. En junio, el investigador en cadena ZachXBT proporcionó más pruebas, descubriendo una estafa de phishing llamada "Ordinal Bubbles" que estaba vinculada al drainer. Los investigadores descubrieron nueve anuncios de phishing diferentes en Google, el 60% de los cuales utilizaban el programa malicioso.

En circunstancias normales, Google utiliza sistemas de auditoría para evitar que se publiquen anuncios de estafas de phishing. Sin embargo, Scam Sniffer descubrió que los estafadores utilizaban "orientación regional y tácticas de cambio de página para eludir las auditorías de anuncios, complicando el proceso de revisión" y permitiendo que sus anuncios superaran los sistemas de control de calidad de Google.

Los estafadores también utilizaron redirecciones web para engañar a los usuarios de Google haciéndoles creer que los enlaces conducían a sitios web oficiales. Por ejemplo, el sitio de estafa cbridge.ceiler.network, que contiene una falta de ortografía de la palabra "Celer", se disfrazaba como la URL correcta: cbridge.celer.network. A pesar de que la ortografía correcta se mostraba en el anuncio, el enlace redirigía al usuario al sitio de estafa con la ortografía incorrecta.

Ejemplo de redirección de estafa MS Drainer. Fuente: Scam Sniffer

Scam Sniffer informó que encontró 10,072 sitios falsos que utilizaban MS Drainer. La actividad del drainer alcanzó su punto máximo en noviembre y desde entonces ha disminuido casi a cero. Durante el curso de sus operaciones, drenó USD 58.98 millones en criptomonedas de más de 63,000 víctimas, según un panel de análisis de Dune creado para rastrearlo.

Una investigación adicional reveló que el desarrollador de MS Drainer empleó una estrategia de marketing inusual. Mientras que la mayoría de los wallet drainers cobran un porcentaje de las ganancias de los estafadores, este se vendía en foros por una tarifa fija de USD 1,499.99. Si un estafador quería más funciones, el desarrollador les proporcionaba "módulos" adicionales por USD 699.99, USD 999.99, u otras sumas similares.

Anuncio de MS Drainer. Fuente: Scam Sniffer

Los wallet drainers se han convertido en un problema significativo en el ecosistema Web3. El 26 de noviembre, el desarrollador del drainer "Inferno" afirmó estar retirándolo después de robar con éxito más de USD 80 millones a lo largo de la vida del software. En marzo, se hizo un anuncio similar de retiro por parte del desarrollador de "Monkey Drainer", que había robado con éxito una estimación de USD 13 millones hasta ese momento.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.