Seguridad de la cadena de bloques: el doble desafío de los contratos inteligentes y la ingeniería social

Las criptomonedas y la tecnología de la Cadena de bloques están reformulando el concepto de libertad financiera, pero esta revolución también ha traído nuevas amenazas a la seguridad. Los estafadores ya no solo aprovechan las vulnerabilidades tecnológicas, sino que transforman los contratos inteligentes de la Cadena de bloques en herramientas de ataque. A través de trampas de ingeniería social cuidadosamente diseñadas, utilizan la transparencia e irreversibilidad de la Cadena de bloques para convertir la confianza del usuario en un medio para robar activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques no solo son ocultos y difíciles de rastrear, sino que también son más engañosos debido a su apariencia "legítima". Este artículo analizará ejemplos para revelar cómo los estafadores convierten los protocolos en vehículos de ataque y ofrecerá soluciones integrales que van desde la protección técnica hasta la prevención conductual.

I. ¿Cómo se convierte un acuerdo legal en una herramienta de fraude?

Los protocolos de la Cadena de bloques deberían garantizar la seguridad y la confianza, pero los estafadores aprovechan sus características, combinadas con la negligencia de los usuarios, para crear múltiples formas de ataque encubiertas. A continuación se presentan algunos métodos comunes y sus detalles técnicos:

(1) autorización de contratos inteligentes maliciosos

Principios técnicos: En cadenas de bloques como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a terceros a retirar una cantidad específica de tokens de su billetera mediante la función "Approve". Esta función se utiliza ampliamente en protocolos de finanzas descentralizadas (DeFi), donde los usuarios deben autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los estafadores aprovechan este mecanismo para diseñar contratos maliciosos.

Forma de operar: Los estafadores crean una aplicación descentralizada (DApp) que se disfraza de un proyecto legítimo, a menudo promocionada a través de sitios de phishing o redes sociales. Los usuarios conectan su billetera y son inducidos a hacer clic en "Approve", que en apariencia autoriza una pequeña cantidad de tokens, pero en realidad puede ser un límite infinito. Una vez que se completa la autorización, la dirección del contrato del estafador obtiene permisos y puede llamar en cualquier momento a la función "TransferFrom" para extraer todos los tokens correspondientes de la billetera del usuario.

Caso real: A principios de 2023, un sitio web de phishing disfrazado de "mejora de algún DEX" llevó a que cientos de usuarios perdieran millones de dólares en USDT y ETH. Los datos en la cadena muestran que estas transacciones cumplen completamente con el estándar ERC-20, y las víctimas tienen dificultades para recuperar su dinero a través de medios legales, ya que la autorización fue firmada de manera voluntaria.

(2) firma de phishing

Principio técnico: Las transacciones de la cadena de bloques requieren que los usuarios generen una firma mediante una clave privada para demostrar la legalidad de la transacción. Normalmente, la billetera mostrará una solicitud de firma, y después de que el usuario la confirme, la transacción se transmite a la red. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.

Modo de operación: El usuario recibe un correo electrónico o un mensaje instantáneo disfrazado de notificación oficial, como "Su airdrop de NFT está pendiente de reclamación, por favor verifique su billetera". Al hacer clic en el enlace, el usuario es dirigido a un sitio web malicioso que exige conectar la billetera y firmar una "transacción de verificación". Esta transacción puede ser en realidad una llamada a la función "Transfer", que transfiere directamente ETH o tokens de la billetera a la dirección del estafador; o una operación de "SetApprovalForAll", autorizando al estafador a controlar la colección de NFT del usuario.

Caso real: Una comunidad de un conocido proyecto NFT ha sufrido un ataque de phishing mediante firmas, y varios usuarios han perdido NFTs por valor de millones de dólares debido a la firma de transacciones "de recepción de airdrop" falsificadas. Los atacantes aprovecharon el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.

(3) tokens falsos y "ataques de polvo"

Principio técnico: La apertura de la cadena de bloques permite que cualquier persona envíe tokens a cualquier dirección, incluso si el destinatario no lo ha solicitado activamente. Los estafadores aprovechan esto enviando pequeñas cantidades de criptomonedas a múltiples direcciones de billetera para rastrear la actividad de las billeteras y vincularlas con las personas o empresas que poseen las billeteras.

Forma de operar: Los atacantes envían una pequeña cantidad de tokens "polvo" a diferentes direcciones, intentando descubrir cuáles pertenecen a la misma billetera. Estos tokens pueden tener nombres o metadatos atractivos que inducen a los usuarios a visitar un sitio web para consultar detalles. Los usuarios pueden intentar canjear estos tokens, permitiendo que los atacantes accedan a la billetera del usuario a través de la dirección del contrato que acompaña a los tokens. Más sutilmente, el ataque de polvo puede identificar las direcciones de billetera activas de los usuarios analizando las transacciones posteriores de los usuarios, lo que permite llevar a cabo estafas más precisas.

Caso real: En la red de Ethereum se produjo un ataque de "tokens GAS" de polvo, que afectó a miles de billeteras. Algunos usuarios, por curiosidad, perdieron ETH y tokens ERC-20.

Dos, ¿por qué son difíciles de detectar estas estafas?

Estos fraudes han tenido éxito en gran medida porque se esconden dentro de los mecanismos legítimos de la cadena de bloques, lo que hace que sea difícil para los usuarios comunes discernir su naturaleza maliciosa. A continuación se presentan algunas razones clave:

• Complejidad técnica: el código de los contratos inteligentes y las solicitudes de firma son confusas para los usuarios no técnicos. Por ejemplo, una solicitud de "Approve" puede mostrarse como datos hexadecimales como "0x095ea7b3...", lo que impide que el usuario entienda su significado de manera intuitiva.

• Legalidad en la cadena: todas las transacciones se registran en la Cadena de bloques, parecen transparentes, pero las víctimas a menudo solo se dan cuenta de las consecuencias de la autorización o la firma después del hecho, y en ese momento los activos ya no se pueden recuperar.

• Ingeniería social: los estafadores aprovechan las debilidades humanas, como la codicia ("recibe 1000 dólares en tokens gratis"), el miedo ("se requiere verificación de cuenta anormal") o la confianza (suplantándose como servicio al cliente).

• Disfraz sofisticado: los sitios web de phishing pueden utilizar URL similares a los nombres de dominio oficiales e incluso aumentar la credibilidad mediante certificados HTTPS.

Tres, ¿cómo proteger su billetera de criptomonedas?

Frente a estos fraudes que combinan tecnología y guerra psicológica, proteger los activos requiere estrategias de múltiples niveles. A continuación se presentan medidas de prevención detalladas:

Verificar y gestionar permisos de autorización

• Utiliza la herramienta de autorización del explorador de bloques para verificar el registro de autorizaciones de la billetera.
• Revocar periódicamente las autorizaciones innecesarias, especialmente las autorizaciones ilimitadas a direcciones desconocidas.
• Antes de cada autorización, asegúrate de que la DApp provenga de una fuente confiable.
• Verifica el valor de "Allowance"; si es "ilimitado" (como 2^256-1), debe ser revocado de inmediato.

Verificar enlace y fuente

• Introduzca manualmente la URL oficial, evite hacer clic en enlaces de redes sociales o correos electrónicos.
• Asegúrate de que el sitio web utilice el nombre de dominio correcto y un certificado SSL (ícono de candado verde).
• Esté atento a errores de ortografía o caracteres adicionales.
• Si recibe una variante de dominio sospechoso, sospeche de su autenticidad.

Uso de billetera fría y firma múltiple

• Almacena la mayor parte de los activos en una billetera de hardware y conéctate a la red solo cuando sea necesario.
• Para activos de gran valor, utiliza herramientas de múltiples firmas que requieran la confirmación de la transacción por múltiples claves.
• Incluso si la billetera caliente es comprometida, los activos en almacenamiento en frío siguen siendo seguros.

Maneje con precaución las solicitudes de firma

• Lee detenidamente los detalles de la transacción en la ventana emergente de la billetera cada vez que firmes.
• Utiliza la función "Decode Input Data" del explorador de cadena de bloques para analizar el contenido de la firma, o consulta a un experto técnico.
• Crear una billetera independiente para operaciones de alto riesgo, almacenando una pequeña cantidad de activos.

respuesta a ataques de polvo

• Después de recibir tokens desconocidos, no interactúe. Márquelos como "spam" o ocultarlos.
• Confirma la procedencia del token a través del explorador de la cadena de bloques, si es un envío masivo, mantén una alta vigilancia.
• Evite hacer público su dirección de billetera, o use una nueva dirección para operaciones sensibles.

Conclusión

Al implementar las medidas de seguridad mencionadas, los usuarios pueden reducir significativamente el riesgo de convertirse en víctimas de esquemas de fraude avanzados, pero la verdadera seguridad no solo depende de la tecnología. Cuando los monederos de hardware establecen una defensa física y la multisig dispersa el riesgo, la comprensión del usuario sobre la lógica de autorización y su prudencia en el comportamiento en la cadena son el último bastión contra los ataques. El análisis de datos antes de cada firma y la revisión de permisos después de cada autorización son protecciones de su soberanía digital.

En el futuro, independientemente de cómo evolucione la tecnología, la defensa más fundamental siempre radicará en: internalizar la conciencia de seguridad como un hábito, estableciendo un equilibrio entre la confianza y la verificación. En el mundo de la Cadena de bloques, cada clic y cada transacción se registran de manera permanente y no se pueden modificar. Por lo tanto, mantenerse alerta y aprender continuamente es crucial para avanzar de manera segura en este campo de rápido desarrollo.