Las últimas estafas, hackeos y exploits de criptomonedas y cómo evitarlos: Crypto-Sec
Phishing de la semana: la cuenta de Symbiotic X está comprometida
Según un informe de PeckShield, la cuenta X del protocolo de staking Symbiotic fue hackeada el 5 de octubre. El sitio web oficial del equipo afirma que la cuenta sigue comprometida a fecha del 7 de octubre.
La cuenta comprometida promociona una lista de verificación de “puntos” y pide a los usuarios que hagan clic en un enlace para comprobar cuántos puntos tienen. Sin embargo, el enlace lleva a la URL incorrecta, network-symbiotic[.]fi, en lugar de la correcta, symbiotic.fi.
Publicación de phishing de un hacker de Symbiotic X. Fuente: Symbiotic.
Cuando los usuarios se conectan al sitio de phishing falso con una billetera, se les presenta una página que afirma que han ganado miles de puntos, incluso si nunca han interactuado con el protocolo Symbiotic antes.
La página insta a los usuarios a canjear sus puntos inmediatamente y afirma que los puntos se perderán si el usuario no hace clic en un botón grande y verde que dice “canjear” en el medio de la pantalla.
Sitio falso de Symbiotic que supuestamente se utiliza para realizar ataques de phishing. Fuente: network-symbiotic.fi
Al presionar el botón “Canjear puntos” con una billetera vacía, aparece un mensaje de error que indica que el usuario debe probar con una billetera diferente, lo cual es un mensaje de error común que se encuentra en sitios de phishing que solicitan firmas de mensajes.
Si la billetera de un usuario contiene tokens Symbiotic, es probable que el sitio le pida al usuario que firme un mensaje, que luego se utiliza para vaciar los tokens del usuario. Cointelegraph no probó la aplicación con una billetera que tuviera fondos.
Desde su sitio web oficial, el equipo de Symbiotic advierte actualmente a los usuarios que su X ha sido comprometida y que los usuarios no deben interactuar con ningún sitio vinculado desde la cuenta.
Advertencia simbiótica de cuenta X comprometida. Fuente: Symbiotic.fi
Los ataques a cuentas X se han convertido en un problema habitual en el ámbito de las criptomonedas. Los usuarios deberían plantearse guardar en favoritos la URL de las aplicaciones que utilizan con frecuencia, ya que suele ser una forma más fiable de llegar al sitio web correcto que confiar en los enlaces X, aunque tampoco es 100 % infalible. Los usuarios deberían ser especialmente cautelosos cuando se les pida que firmen un mensaje escrito en código, ya que esto suele ser, aunque no siempre, una señal de un ataque de phishing.
El rincón del malware: los atacantes ahora usan archivos SVG para atraer a sus víctimas
Los atacantes ahora están usando archivos de imagen SVG para infectar las computadoras de las víctimas, según un informe de septiembre del equipo Wolf Security de HP.
El nuevo método permite a los atacantes obtener el control del ordenador de la víctima a través de un troyano de acceso remoto (RAT). Una vez instalado el software, los atacantes lo utilizan para robar las contraseñas de los sitios web de la víctima, las palabras clave y otra información personal. Si el usuario posee criptomonedas, estas credenciales se utilizan en otros intentos de obtener acceso a la billetera del usuario y vaciarla.
Los investigadores descubrieron que el malware se camuflaba en un archivo ZIP que se cargaba cuando se abría la imagen en un navegador. También incluía un archivo .pdf que se cargaba como distracción para la víctima mientras se descargaba e instalaba el programa malicioso en segundo plano.
Según Adobe, los archivos Scalable Vector Graphics (SVG) almacenan imágenes “a través de fórmulas matemáticas basadas en puntos y líneas en una cuadrícula” en lugar de a través de píxeles. Esto significa que se pueden redimensionar fácilmente sin perder su calidad. Además, están escritos en código XML, lo que les permite almacenar texto dentro de ellos mismos.
Según Mozilla, los archivos SVG también contienen un elemento de “script” que permite a los desarrolladores incrustar programas ejecutables en ellos. Se dice que los desarrolladores de malware han aprendido a abusar de esta capacidad de creación de scripts.
Los investigadores de HP encontraron una imagen que genera un archivo ZIP cuando se abre en un navegador. Si el usuario hace clic en el archivo, se abre una ventana del Explorador de archivos y comienza a descargar un archivo de acceso directo.
Al hacer clic en el acceso directo, se carga un archivo .pdf falso en la pantalla de la víctima. Mientras tanto, el dispositivo comienza a copiar varios scripts y a almacenarlos en los directorios de Música, Fotos e Inicio de la víctima. Esto permite que el programa persista en el tiempo.
Archivo URL malicioso en formato SVG infectado y PDF señuelo destinado a distraer al usuario. Fuente: HP Wolf Security.
Después de copiar estos scripts en el dispositivo, los ejecuta. El resultado es que se instalan en el dispositivo del usuario una serie de programas maliciosos peligrosos, entre ellos VenomRAT, AsyncRAT, Remcos y XWORM. Una vez instalado el malware, el atacante puede tomar el control total del ordenador de la víctima y robar todos los archivos que contiene.
Dado este nuevo vector de ataque, los usuarios de criptomonedas deben tener cuidado al interactuar con archivos de imágenes SVG de fuentes en las que no confían completamente. Al abrir una imagen, si esta carga otros tipos de archivos, los usuarios deben considerar rechazar estos archivos cerrando la ventana del navegador.
El exploit de Fire Token ilustra los riesgos de los nuevos tokens
Comprar nuevos tokens con características novedosas y contratos no auditados suele ser riesgoso, como lo ilustra lo que le sucedió al token FIRE el 1 de octubre.
El pool Uniswap para el token perdió casi toda su liquidez después de que un atacante explotara el contrato del token para venderlo repetidamente a un precio cada vez más alto.
Después del exploit, el equipo del token eliminó inmediatamente sus cuentas sociales y desapareció, lo que implica que el proyecto puede haber sido una estafa de salida desde el principio.
El token no se ha comercializado desde el 2 de octubre, lo que implica que puede haber tan poca liquidez que venderlo podría resultar imposible.
La idea que se presentó a los inversores de FIRE fue sencilla. Según su sitio web, se trataba de un “token ultrahiperdeflacionario”. Cada vez que los titulares vendieran su FIRE en el fondo de liquidez Uniswap del token, este se enviaría automáticamente a una dirección de reserva. Esto haría que la oferta del token se redujera, lo que aumentaría el valor del FIRE en poder de quienes no vendieran.
Sitio web de Fire Token. Fuente: Fire.
El token se lanzó a las 8:00 am UTC el 1 de octubre. Aproximadamente 90 segundos después del lanzamiento, una cuenta que terminaba en 1e2e drenó aproximadamente $22,000 en Ether (ETH) del grupo de liquidez del token.
Para lograrlo, primero solicitó un préstamo relámpago de 20 ETH a la plataforma de préstamos Spark Protocol. Luego creó un contrato malicioso que intercambiaba ETH por FIRE y luego lo intercambiaba de vuelta, destruyendo el FIRE recién adquirido en el proceso y aumentando su precio.
Este proceso se repitió a lo largo de 122 transferencias a través de 16 contratos inteligentes diferentes, y cada transferencia fue parte de una sola transacción. Cada vez que se intercambiaba FIRE por ETH, se recibía a cambio una cantidad de ETH ligeramente mayor en comparación con lo que se había gastado para adquirirlo. Como resultado, el atacante pudo vaciar el fondo de aproximadamente 22.000 dólares en ETH. Además, esta transacción destruyó 230 tokens FIRE.
El ataque se repitió una y otra vez, y la última transacción de explotación tuvo lugar el 2 de octubre a la 1:14 am.
La plataforma de seguridad blockchain TenArmor informó del ataque a X. “Nuestro sistema ha detectado que el token#FIRE@Fire_TokenEth en#ETHfue atacado, lo que resultó en una pérdida de aproximadamente $22.3K”, afirmó la publicación.
Fuente: TenArmor.
Según los datos de precios de la plataforma de negociación Apespace, el precio inicial de FIRE se fijó en aproximadamente 33 ETH (81.543 dólares a precios actuales) o alrededor de 8 dólares por 0,0001 FIRE. En el momento del exploit, el precio de FIRE se disparó, aumentando a 30 mil millones de ETH por moneda o 244,6 mil millones de dólares por 0,0001 FIRE. Luego cayó a 4,7 mil millones de ETH por moneda en los siguientes dos minutos.
Cabe señalar que en el momento en que se alcanzaron estos altos precios, quedaba significativamente menos de una moneda FIRE en circulación, ya que la mayor parte del suministro del token había sido destruido en el exploit.
Gráfico de un minuto de FIRE que muestra el exploit aproximadamente a las 8:13 am. Fuente: Apespace.
Después del exploit, el equipo FIRE eliminó sus cuentas de X y Telegram, lo que sugiere que el atacante puede haber estado afiliado al equipo. La página Apespace del token también presenta una advertencia de que el contrato FIRE contiene una función de "lista negra" que permite a los desarrolladores incluir en la lista negra la cuenta de cualquier usuario y evitar que vendan el token. Los desarrolladores pueden haber usado esta función de lista negra para permitirse vender solo a ellos mismos.
Los usuarios deben tener cuidado al interactuar con tokens que tienen características novedosas que pueden no ser completamente comprendidas por la mayoría de los usuarios.
En este caso, los desarrolladores declararon explícitamente que cualquiera que venda en el pool destruye tokens, lo que reduce su oferta. Sin embargo, es posible que algunos usuarios no se hayan dado cuenta de que esto permite que un solo comerciante cambie repetidamente de token a token para aumentar artificialmente su precio y drenar su liquidez.
Revista: Sospechoso arresto de reportero de estafas criptográficas y primer ministro pro-criptomonedas de Japón: Asia Express
