MetaMask explica cómo funciona esta estafa que puede afectar hasta a los usuarios más experimentados.

Hechos clave:
  • La técnica se basa en confundir la dirección real con la dirección del atacante.
  • Verificar los primeros y últimos caracteres de una dirección puede no ser suficiente.

El envenenamiento de direcciones es una técnica de estafa que emula casi todos (pero no todos) los caracteres de una dirección de bitcoin (BTC) o criptomonedas. Si un usuario no se percata y verifica si es correcta la dirección a la que está enviando fondos, podría terminar siendo víctima de una estafa.

Según explica MetaMask en una publicación en su blog este 11 de enero, los estafadores utilizan esta técnica para confundir a sus víctimas con las direcciones frecuentemente utilizadas.

Los ladrones monitorean las direcciones de sus víctimas en búsqueda de transacciones recientes. Pueden hacerlo ya que las criptomonedas se basan en redes públicas. Al detectar una transferencia entrante, los estafadores proceden a enviar cierta cantidad de tokens que no posean ningún valor a la víctima, para confundirla. Esto es posible ya que, la dirección de origen de los tokens posee los mismos caracteres, tanto al inicio como al final, de la dirección original.

Las direcciones generadas a partir de caracteres predefinidos personalizados se les conoce como «direcciones de vanidad» o Vanity Address como fue el caso de la dirección «1BitcoinEaterAddressDontSendf59kuE», reportada por CriptoNoticias.

En la web existen diferentes portales para generar este tipo de direcciones junto con sus correspondientes llaves privadas. Si bien su objetivo no es necesariamente fraudulento, la posibilidad de generar direcciones a partir de unos caracteres predefinidos, puede ser aprovechada por los atacantes.

Conseguir una dirección que copie solo algunos caracteres de otra, es bastante complicado, y puede llevar mucho tiempo, dependiendo de la capacidad de cálculo del computador. Mientras más caracteres se busque copiar, más complicado será hallar la clave privada.

Muchos usuarios suelen abusar de la técnica de copiar y pegar, porque es difícil recordar los 40 caracteres alfanuméricos que componen una dirección (para el caso de Ethereum).

Al hacer esto, un usuario descuidado, puede pasar por alto que no se trata de la dirección original a la que intenta enviar, ya que solo hace una verificación rápida de los primeros y últimos caracteres que componen una dirección.

En la lista de direcciones de wallets como MetaMask, es se muestran solamente los primeros y últimos 5 caracteres. Fuente: MetaMask Portfolio.

Cómo evitar ser víctima de esta estafa

Si bien se trata de una técnica poco sofisticada, nadie está exento a caer en ella. Las direcciones de cualquier red de criptomonedas son propensas este tipo de ataques.

Para evitar esto, lo principal es hacer una verificación más extensa. Como ya se comentó anteriormente, las direcciones de vanidad creadas por los estafadores copian los primeros y últimos dígitos de una dirección. Dado que, a mayor cantidad de dígitos que intente copiar, será más complicado generar una dirección, se recomienda en la medida de lo posible, hacer una verificación completa, digito a digito de la dirección.

Asimismo, se aconseja evitar copiar direcciones de la lista de transacciones recibidas. Dado que este es el principal vector de ataque utilizado por los estafadores.

Otra de las recomendaciones es hacer un pago pequeño previo, para corroborar que se trata de la dirección correcta. Esto en casos de transferencias de fondos muy elevada.

MetaMask aconseja guardar registro en el directorio de direcciones de las más utilizadas, así se evita copiar direcciones del registro de transacciones.

El directorio de direcciones de MetaMask se encuentra disponible desde el menú de configuración de la aplicación. Fuente: MetaMask.

Una de las soluciones actuales para este tipo de inconvenientes, en el caso de lo difícil que resulta la verificación de todos los caracteres de una dirección, son los nombres de dominio, en este caso de Ethereum, o ENS reseñados por Criptonoticias. Estos permiten enviar fondos utilizando nombres como Vitalik.eth en lugar de direcciones. Sin embargo, también se puede caer en suplantaciones de nombres, como por ejemplo un usuario que utilice Vitaliik.eth.

Fuente: criptonoticias.com

Dejar respuesta

Please enter your comment!
Please enter your name here