MetaMask notificó a la criptocomunidad de un nuevo tipo de estafa llamada “envenenamiento de direcciones” en una publicación reciente.
La estafa fue calificada como “bastante inocua en comparación con otros tipos de estafa”. Sin embargo, la compañía advirtió que el envenenamiento de direcciones todavía tiene el potencial de engañar a los usuarios desprevenidos para que pierdan fondos.
“abordar el envenenamiento es un vector de ataque que, a diferencia de otras estafas, que a menudo usan métodos que han servido tan bien a muchos estafadores, como aprobaciones ilimitadas de tokens, phishing para su Frase de recuperación secreta, etc. confía en el descuido y la prisa del usuario por encima de todo.”
Cómo funciona el “envenenamiento de direcciones”
El envenenamiento de direcciones se centra en las direcciones de billetera que son números hexadecimales largos que son difíciles de recordar y fáciles de confundir con otras direcciones similares.
Las direcciones criptográficas a menudo se acortan para mostrar los primeros caracteres, un espacio en blanco y luego los últimos. Los estafadores explotan la tendencia a confiar en la familiaridad de los primeros y últimos personajes.
Al realizar transacciones, la rutina habitual consiste en copiar y pegar una dirección. Muchos proveedores de billeteras, incluido MetaMask, cuentan con una función de un solo clic para copiar una dirección.
El envenenamiento de direcciones aprovecha la falta de atención de los usuarios en este punto del proceso de transacción. Específicamente, los estafadores observan y rastrean transacciones de tokens particulares, con las monedas estables como objetivo común. Luego, usando un generador de direcciones de “vanity”, el estafador creará una dirección que coincida con la dirección de destino, especialmente los primeros y últimos caracteres.
El estafador envía una transacción de valor nominal desde la dirección recién generada a la dirección de destino; en este punto, este último se envenena.
En el futuro, cuando desee enviar una transacción, el usuario puede copiar por error la dirección incorrecta en función de la familiaridad de los primeros y últimos caracteres. Una vez ejecutado, los fondos terminan en manos del estafador.
“Y dado que las transacciones en cadena como esta son inmutables (no se pueden modificar una vez confirmadas), los fondos perdidos serán irrecuperables”.
MetaMask explica cómo mantenerse a salvo
Desafortunadamente, la naturaleza de las cadenas de bloques públicas significa que cualquier persona, incluidos los estafadores, puede enviar transacciones a cualquier dirección si así lo desea.
MetaMask reiteró la importancia de verificar todos los caracteres de la dirección al enviar fondos, no solo los primeros y los últimos.
“Desarrolla el hábito de revisar minuciosamente cada personaje de una dirección antes de enviar una transacción. Esta es la única manera de estar completamente seguro de que está enviando al lugar correcto”.
Otras estrategias para evitar ser víctima de envenenamiento de direcciones incluyen no usar el historial de transacciones para copiar direcciones, incluir en la lista blanca las direcciones de uso frecuente para evitar copiar y pegar por completo, y usar transacciones de prueba, especialmente cuando se transfieren grandes sumas.