Una nueva estafa que circula en Telegram permite al atacante vaciar la billetera de criptomonedas de una víctima sin que esta necesite confirmar una transacción, según informes de usuarios y datos de blockchain.
La estafa solo funciona en tokens que cumplen con el estándar de token ERC-2612, que permite transferencias "sin gas" o transferencias por parte de una billetera que no posee Ether (ETH). Aunque el método no requiere que los usuarios aprueben una transacción, parece requerir engañar al usuario para que firme un mensaje.
A medida que más tokens implementan el estándar ERC-2612, este tipo particular de ataque puede volverse más prevalente.
Cointelegraph fue contactado por un usuario que dijo haber perdido más de USD 600 en tokens de Open Exchange (OX) después de visitar lo que creía que era el grupo oficial de Telegram del desarrollador del token, OPNX. Sin embargo, resultó ser una estafa de phishing.
Cuando ingresó al grupo de Telegram, se le pidió que presionara un botón para conectar su billetera y demostrar que no era un bot. Esto abrió una ventana del navegador y conectó su billetera al sitio, creyendo que una simple conexión no representaba un riesgo para sus fondos. Sin embargo, en cuestión de minutos, todos sus tokens OX fueron vaciados. La víctima afirmó que nunca aprobó una sola transacción desde la página, sin embargo, sus fondos fueron robados de todos modos.
Cointelegraph visitó el grupo de Telegram y descubrió que presentaba una versión falsa del sistema de verificación de Telegram de Collab.Land. El verdadero sistema de Collab.Land envía mensajes desde el canal de Telegram @collablandbot, deletreado con dos "l" minúsculas. Esta versión falsa enviaba mensajes desde @colIablandbot, con una "I" mayúscula en lugar de una segunda "l" minúscula. En la fuente que Telegram usa para sus nombres de usuario, estas dos letras se ven extremadamente similares.
Además, el botón "conectar billetera" en mensajes auténticos de Collab.Land envía a los usuarios a la URL connect.collab.info, que no contiene guiones, mientras que esta versión falsa enviaba a los usuarios a connect-collab.info, con un guión en lugar de un punto.
Relacionado: Los estafadores están apuntando a usuarios de criptomonedas con el nuevo truco "TransferFrom" de valor cero
Según datos de blockchain, el atacante vació los fondos llamando a la función "transferFrom" en el contrato del token OX. En circunstancias normales, esta función solo puede ser llamada por un tercero si el propietario primero llama a "approve" a través de una transacción separada y establece un límite de gasto. Los datos de blockchain no muestran evidencia de que la víctima haya hecho tal aprobación.
Aproximadamente una hora y 40 minutos antes de la transferencia, el atacante llamó a "Permit" en el contrato del token OX, estableciéndose como el "gastador" y la cuenta de la víctima como el "propietario". También establecieron un "plazo" o período de tiempo después del cual caducaría el permiso y un "valor" o cantidad de tokens que podrían transferirse. El "valor" se estableció en un número arbitrariamente grande.
La función Permit se encuentra en las líneas 116-160 del archivo ERC20.sol del contrato del token. Permite a un tercero autorizar tokens para ser transferidos en nombre de su propietario, pero solo si el propietario entrega un mensaje firmado que les otorgue autorización.
La configuración puede explicar por qué el atacante pudo vaciar los fondos sin engañar al propietario para que realice una aprobación tradicional de tokens. Sin embargo, también implica que el atacante engañó al propietario para que firmara un mensaje. Después de ser confrontado con esta evidencia, la víctima informó que intentó conectarse al sitio por segunda vez. Esta vez, notó que había un "diálogo de firma adicional", que debe haber confirmado la primera vez sin darse cuenta.
La función Permit parece ser una nueva característica de algunos contratos de tokens. Se está implementando como parte del estándar ERC-2612, que permite transacciones por parte de billeteras que no tienen ETH. El desarrollador web3 OpenZeppelin describe el propósito de la función de esta manera:
“[Se] puede usar para cambiar la asignación ERC20 de una cuenta (ver IERC20.allowance) presentando un mensaje firmado por la cuenta. Al no depender de IERC20.approve, la cuenta titular de tokens no necesita enviar una transacción y, por lo tanto, no se requiere que tenga Ether en absoluto.”
Con el tiempo, esta función podría permitir que los desarrolladores de billeteras creen billeteras amigables para el usuario que solo contengan stablecoins. Sin embargo, la investigación de Cointelegraph ha revelado que los estafadores también están utilizando esta función para engañar a los usuarios para que entreguen sus fondos. Los usuarios web3 deben ser conscientes de que un atacante puede vaciar sus fondos incluso si no realizan una transacción de aprobación, siempre que firmen un mensaje que le otorgue al atacante esta capacidad.
Cointelegraph contactó al equipo de Collab.Land para obtener comentarios. Los desarrolladores confirmaron que el bot y el sitio web involucrados en este ataque no están asociados con el verdadero protocolo de Collab.Land. Después de ser informados de este impostor, los desarrolladores del proyecto reportaron la estafa a Telegram.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión