Nuevo truco exclusivo de los estafadores de criptomonedas es el Ice Phishing, que se dirige exclusivamente a los usuarios de productos Web3.
Los expertos en seguridad de blockchain de CertiK han advertido a los usuarios sobre un nuevo tipo de estafa: Ice Phishing. Este tipo de ataque difiere significativamente de todos los trucos de criptofraude conocidos hasta ahora, ya que no implica la captura de datos personales o claves privadas.
El Ice Phishing utiliza elementos de ingeniería social y piratería informática. El estafador engaña a la víctima para que firme una transacción que delega el permiso para transferir criptoactivos utilizando un contrato inteligente. El atacante puede entonces utilizar los activos del usuario como considere oportuno.
Un ejemplo destacado del ataque Ice Phishing fue el robo de 14 NFT de la colección del Bored Ape Yacht Club (BAYC), cuya venta hizo ganar a los hackers 852 ETH (~1,07 millones de dólares). El estafador obligó al usuario a firmar un “permiso” para utilizar sus NFT para filmar. Como resultado, el estafador pudo venderse a sí mismo todos los “monos” del usuario por una cantidad mínima de dinero.
Debido a la naturaleza específica de este tipo de ataques, los analistas calificaron el Ice Phishing de amenaza significativa que sólo se encuentra en el espacio Web3. Para proteger sus activos digitales de este tipo de phishing, debe verificar todas las transacciones cuyas solicitudes de firma procedan de fuentes no verificadas. Para ello pueden utilizarse servicios como Etherscan.
Los analistas de CertiK destacan que las direcciones con actividad sospechosa suelen estar implicadas en el Ice Phishing. Se dio un ejemplo de una dirección a la que se movieron fondos del criptomezclador Tornado Cash. Los analistas también señalan que el Ice Phishing se utiliza con mayor frecuencia en las redes sociales. Por ello, los usuarios que quieran evitar el robo de fondos de esta forma deben comprobar cuidadosamente todos los enlaces que se les invita a seguir para realizar “ofertas tentadoras” por parte de contactos desconocidos en Discord, Twitter o Instagram.
Como recordatorio, las redes sociales están reconocidas en 2022 como la herramienta más común para los criptodefraudadores. Anteriormente, los analistas de CertiK llamaron la atención sobre el aumento del número de vídeos fraudulentos en YouTube.