Tiempo de lectura: 5 minutos
La seguridad y la protección de los activos marcan una gran diferencia en la cantidad de dinero que ganan los usuarios con sus inversiones. Y aquí hay un blog de seguridad para mantenerse al tanto e informado en Web3.
Las criptomonedas son conocidas por su volatilidad. Eso indica cuánto influye el precio del activo en la toma de decisiones de inversión. Hay una trampa para que los piratas informáticos jueguen con los precios y engañen a los usuarios para obtener sus ganancias.
Cualquiera que sea un inversionista criptográfico acérrimo se habría enfrentado a una situación en la que los precios de los tokens criptográficos se manipulan para crear una ilusión de pesimismo u optimismo. Esto incitaría a los usuarios a comprarlos y luego descubrirían que han caído en la suplantación de identidad.
Entonces, ¿qué es la suplantación de identidad? ¿Cómo identificarlos y estar atento para evitar que su dinero desaparezca en el aire? Lo tendremos todo cubierto en este blog.
'Suplantación de identidad': en pocas palabras
Finalmente se lanza un token muy esperado con tanta publicidad que el usuario está esperando para comprar, con el mismo símbolo y logotipo oficial. Y con gran emoción, el usuario quiere comprarlos.
Pero, ¿cómo se convence al usuario de la autenticidad de los tokens y procede a realizar una compra masiva de ellos?
El usuario encuentra en el explorador de bloques que las direcciones asociadas con las transferencias de tokens son personas influyentes/personalidades aclamadas.
Aquí es donde el hacker manipuló la dirección de origen del ficha, haciendo que parezca que está vinculado a la dirección de un conocido influencer. Al ver esto, los usuarios se dedican con cariño a intercambiar esos tokens creyendo que son los originales.
Detrás de escena: ¿Cómo hizo esto el hacker?
Los datos de transferencia en los contratos inteligentes se pueden modificar fácilmente. Por lo tanto, al utilizar esto, el atacante cambiaría la dirección de origen a cualquier otra, aunque él/ella es quien inicia la transacción.
Veamos la transferencia de tokens en Etherscan para una mayor claridad de las transferencias de tokens falsos.
En esto puede ver que la dirección de Vitalik 0xab5801a7d398351b8be11c439e05c5b3259aec9b ha recibido tokens zkSync.
Los tokens pueden transferirse de cualquier persona a la dirección de Vitalik, lo cual no es gran cosa.
Pero, en esto, puedes ver que Vitalik envía las fichas. Entonces, esto atraería a los usuarios a pensar que estos tokens enviados por Vitalik serían un verdadero premio gordo.
¡Pero eso no es cierto! ¡Averigüemos qué nos depara el futuro!
Vitalik no inició la transferencia, pero el propietario del contrato que inició la transacción hizo que pareciera haber sido enviado por Vitalik. Aquí es donde se falsifica el explorador de bloques para mostrar la transacción manipulada, ya que el explorador de bloques solo puede leer eventos.
Esto se puede encontrar examinando los detalles de la transacción, que muestran claramente que la dirección del iniciador (0x46e7cefdfa7513d19261d1afa7ec04c13e7acefc) procedió con la transacción manipulándola para que lo hiciera Vitalik.
Al mirar más de cerca, puede encontrar que los datos de entrada se alimentan con la dirección de Vitalik. Esto también puede estar codificado en el contrato.
Además, al descompilar, podemos encontrar una función de transferencia no estándar que toma la entrada para De la Dirección e inicia el evento de transferencia. Y aquí es donde el propietario del contrato ingresó la dirección de Vitalik para que parezca que está haciendo la transferencia.
Los contratiempos en la transferencia de tokens
Así es como el usuario confunde la dirección De con la dirección del iniciador de la transacción. El truco de suplantación funciona para lanzar ataques exitosos contra el usuario aprovechando el estándar de diseño del token ERC-20 y la visualización de datos transparente del explorador de bloques.
Las funciones transfer y transferFrom del estándar ERC-20 facilitan agregar cualquier dirección arbitraria como remitente de tokens y que la dirección From se cambie desde la dirección del iniciador del contrato.
Los exploradores de bloques como Etherscan muestran la dirección Desde en lugar de la dirección del iniciador tx, lo que da como resultado que el usuario guarde los tokens sin valor.
¿Algún evento reciente de spam de token falso?
El anuncio reciente del "lanzamiento aéreo" de Ucrania para recompensar las donaciones en criptomonedas por parte del usuario se publicó en las cuentas de Twitter.
Poco después, el explorador de bloques de Ethereum, Etherscan, mostró la billetera oficial de Ucrania con 7 mil millones de tokens de "Mundo pacífico" para el lanzamiento secreto de criptografía.
También hubo actividades de la billetera oficial de Ucrania que envió tokens a la dirección de la billetera criptográfica que donó a los fondos de Ucrania.
Pero no hubo detalles del evento oficial de lanzamiento aéreo después de la publicación inicial de las autoridades (como el tipo de token o la cantidad de tokens que se lanzarán, etc.)
Más tarde, los analistas de blockchain confirmaron que los tokens del mundo pacífico (WORLD) podrían ser una parodia, y Etherscan los etiquetó como "engañosos" y los marcó como spam.
Este ejemplo muestra cómo La dirección de la billetera de Ucrania se está utilizando para lanzar un lanzamiento aéreo falso– una instancia de token spoofing.
¿Cómo evitar comprar tokens falsos?
La mejor manera es profundizar en los detalles de la transacción y ver si la dirección del remitente y la dirección del iniciador de la transferencia del token son las mismas.
Si bien no todas las transferencias de tokens iniciadas desde diferentes direcciones pueden ser necesariamente una falsificación, al usar la función 'Lista de tokens ignorados' en EtherScan que enumera los tokens sospechosos en esta categoría, los usuarios pueden mantenerse alerta y estar atentos a los tokens con los que interactúan.
QuillAudits en Web3 Security
QuillAuditorias es una empresa de seguridad líder que ofrece protección a empresas establecidas y en crecimiento al proporcionar servicios de auditoría de contratos inteligentes y de diligencia debida para mantenerse alerta contra los ataques web3.
Póngase en contacto con nuestros expertos para una consulta gratuita en menos de 10 minutos:
https://t.me/quillaudits_official
15 Vistas
- Bitcoin
- blockchain
- cumplimiento de blockchain
- conferencia de la cadena de bloque
- coinbase
- Coingenius
- Consenso
- conferencia criptográfica
- minería criptográfica
- criptomoneda
- Descentralizado
- DeFi
- Acciones digitales
- Etereum
- máquina de aprendizaje
- token no fungible
- Platón
- platón ai
- Inteligencia de datos de Platón
- platoblockchain
- PlatónDatos
- juego de platos
- Polígono
- prueba de participación
- hachís
- Smart Contract Security
- tendencias
- W3
- zephyrnet
