Un usuario de criptomonedas perdió recientemente más de $11 millones en tokens aEthMKR y Pendle USDe debido a una estafa de phishing, según informó Scam Sniffer. La víctima, que es delegada de gobernanza de MakerDAO según Arkham Intelligence, fue víctima de una serie de firmas de permisos fraudulentas. Este incidente resalta los riesgos importantes asociados con EIP-2612, un protocolo que permite firmas de permisos para autorizar transacciones sin verificación en cadena.

Cómo funcionó la estafa

Firmas de permisos: EIP-2612: esta propuesta de mejora de Ethereum permite a los usuarios generar firmas de autorización sin necesidad de aprobación previa en la cadena. Si bien esto puede agilizar las transacciones, también introduce vulnerabilidades. Autorización fuera de la cadena: estas firmas se pueden crear y utilizar sin transmitirse a la cadena de bloques, lo que dificulta la detección de actividades fraudulentas. Ataque de phishing: sitios web falsos: los estafadores crean sitios web que parecen legítimos para engañar a las víctimas para que firmen permisos. Autorización engañosa: una vez que una víctima firma un permiso en estos sitios falsos, los estafadores obtienen control sobre sus activos sin necesidad de mayor interacción en la cadena.

Riesgos y vulnerabilidades

Riesgos de firma: como lo destaca la firma de seguridad blockchain SlowMist, el principal riesgo con los permisos radica en la facilidad con la que los malos actores pueden explotar las autorizaciones de firma. Dado que las transacciones ocurren fuera de la cadena, detectar firmas comprometidas se vuelve un desafío. Falta de advertencias: algunas billeteras decodifican y muestran información de firmas, pero las advertencias sobre el phishing de firmas de permisos a menudo son insuficientes. Esta brecha en la protección del usuario aumenta la probabilidad de que los intentos de phishing tengan éxito.

Recomendaciones

Para mitigar dichos riesgos, se recomienda a los usuarios:

Verificar sitios web: asegúrese siempre de la legitimidad de los sitios web antes de firmar cualquier permiso. Comprenda los permisos: lea atentamente y comprenda los permisos que se otorgan con cada firma. Utilice carteras acreditadas: opte por carteras que proporcionen información detallada y advertencias sobre las firmas de permisos. Manténgase informado: manténgase informado actualizado con las últimas prácticas de seguridad y posibles vulnerabilidades dentro del espacio criptográfico.

Este desafortunado evento subraya la necesidad de una mayor concientización y medidas de seguridad más sólidas para protegerse contra sofisticadas estafas de phishing en el mundo de las criptomonedas.#CryptoTradingGuide