Conclusiones Principales

  • Firmar mensajes es un aspecto esencial de realizar transacciones en la blockchain, pero si no se maneja con precaución, puede exponer a los usuarios a riesgos de seguridad considerables.

  • La función ‘eth_sign’, que permite a los usuarios firmar mensajes arbitrarios, es especialmente vulnerable al abuso, lo que podría permitir a los atacantes obtener control total sobre los activos de la víctima.

  • Para protegerte, siempre utiliza plataformas confiables, evita firmar mensajes desconocidos y mantente informado sobre las estafas comunes.

Para aquellos que exploran el espacio Web3, la firma de mensajes es esencial para autorizar transacciones, verificar identidades e interactuar con aplicaciones descentralizadas (DApps). Por ejemplo, una plataforma de airdrop puede requerir que un usuario firme un mensaje para demostrar la propiedad de una dirección de billetera específica elegible para un airdrop. Si bien este proceso permite muchas funciones críticas de blockchain, también introduce riesgos de seguridad significativos.

En este artículo, exploramos los peligros potenciales asociados con la firma de mensajes dentro y fuera de la blockchain, y destacamos escenarios comunes donde los usuarios pueden sufrir pérdidas financieras como resultado de firmar mensajes maliciosos.

Firma de Mensajes y Transacciones: Comprendiendo la Diferencia

En el espacio descentralizado, las firmas son esenciales tanto para autorizar transacciones como para interactuar con DApps. Vienen en dos tipos principales: firmas en cadena (transacción) y firmas fuera de la cadena (mensaje).

Firmas en Cadena (Firmando una Transacción)

Las firmas en cadena se utilizan para autorizar acciones que cambian el estado de la blockchain, como transferir fondos o ejecutar contratos inteligentes. Así es como funciona:

Flujo de trabajo del proceso de firma y verificación en cadena

  • Generación de Mensaje: Cuando alguien inicia una transacción en la blockchain, la red genera un mensaje relacionado con esa transacción, que contiene información sobre ella, como las direcciones del remitente y del destinatario, la cantidad a transferir y otros detalles relevantes.

  • Firmando el Mensaje: El usuario que inicia una transacción "firma" este mensaje con su clave privada. Este proceso implica aplicar un algoritmo criptográfico al mensaje y a la clave privada del usuario, lo que resulta en una firma digital.

  • Enviando el Mensaje Firmado: El mensaje firmado, junto con el mensaje original, se envía a la red.

  • Verificación: La red verifica la firma utilizando la clave pública del usuario que realiza la transacción, que se deriva de su clave privada pero puede compartirse de forma segura. Si la firma coincide con el mensaje y la clave pública, confirma que el titular de la cuenta ha autorizado la transacción.

  • Procesamiento de la Transacción: Si la firma es válida, la red procesa la transacción. De lo contrario, la transacción es rechazada.

Cuando utilizas una billetera de criptomonedas, el proceso de firma de transacciones generalmente ocurre automáticamente en segundo plano. La mayoría de las billeteras de criptomonedas modernas proporcionan una interfaz amigable que abstrae los detalles técnicos, por lo que no ves ni interactúas directamente con el proceso.

Firmas Fuera de la Cadena (Firmando un Mensaje)

Las firmas fuera de la cadena, por otro lado, se utilizan para acciones que no afectan el estado de la blockchain, como verificar la identidad del usuario, iniciar sesión en una DApp o preautorizar transferencias de fondos. Así es como funciona:

  • Generación de Desafío: La aplicación genera un mensaje único que sirve como un “desafío”: una solicitud para que el usuario se autentique demostrando que posee la dirección en cuestión. Este mensaje puede incluir detalles específicos relacionados con el intento de inicio de sesión, como la marca de tiempo o un número aleatorio.

  • Creación de Firma: El usuario firma el mensaje con su clave privada, creando una firma digital. Esta firma actúa como prueba de que posee la clave privada asociada con la billetera.

  • Verificación de Firma: El receptor verifica la firma usando tu clave pública. Si la firma es válida, confirma la identidad del usuario y le otorga acceso.

Son firmas fuera de la cadena que los usuarios de Web3 suelen utilizar para interactuar con diversos propósitos; y es este tipo de firma el que tiene el potencial de ser abusado por criminales.

El Riesgo: Autorización No Intencionada

Existen varios métodos para firmar mensajes, incluidos eth_sign, personal_sign y eth_signTypedData. Estas funciones tienen diferentes niveles de seguridad, y dependiendo de la billetera que uses, algunos métodos pueden o no estar soportados.

  • La función eth_sign permite a los usuarios firmar mensajes arbitrarios con sus claves privadas, lo que podría representar riesgos de seguridad. Este método utiliza un formato de mensaje en bruto, no legible, sin ningún prefijo o contexto.

Por esta razón, los usuarios a menudo no comprenden las implicaciones de lo que están firmando. El riesgo más grave es que firmar un mensaje malicioso puede otorgar al atacante control total sobre tus activos.

  • El método personal_sign está diseñado para ser más seguro y amigable para el usuario. Prefija el mensaje con una cadena estándar antes de hash y firmar, dejando claro que el mensaje está destinado a ser firmado. Este prefijo ayuda a protegerse contra ciertos tipos de ataques, como los ataques de repetición, donde un mensaje firmado podría ser reutilizado en un contexto diferente.

  • El método eth_signTypedData se utiliza para firmar datos estructurados, proporcionando más contexto y claridad sobre lo que se está firmando. Permite a los desarrolladores definir la estructura de los datos que se están firmando, haciéndolo más transparente y fácil de entender.

¿Qué es el Phishing de eth_sign?

En su núcleo, eth_sign es un mecanismo criptográfico que permite a los usuarios firmar mensajes arbitrarios. Esta firma sirve como prueba digital de que el propietario de la cuenta ha autorizado el contenido del mensaje. Sin embargo, el problema surge cuando estos mensajes firmados pueden ser interpretados y ejecutados por contratos inteligentes de maneras que no son inmediatamente evidentes para el usuario. Un mensaje que parece ser una cadena de caracteres inofensiva puede, en realidad, autorizar a los atacantes a tomar el control total de tu cuenta. Desglosamos la mecánica de un ataque típico de phishing de eth_sign:

1. La Preparación: Los atacantes a menudo crean sitios web o aplicaciones falsas que imitan plataformas legítimas. Estos podrían ser intercambios descentralizados, mercados de NFT u otros servicios basados en blockchain.

2. La Carnada: Los usuarios son atraídos a conectarse a estas plataformas falsas a través de diversos medios: correos electrónicos de phishing, anuncios engañosos o incluso enlaces falsos en grupos de redes sociales. Los atacantes a menudo crean un sentido de urgencia, afirmando que el usuario necesita firmar rápidamente para aprovechar una oferta por tiempo limitado o para evitar alguna consecuencia negativa.

3. El Anzuelo: El sitio de los atacantes solicita al usuario que firme un mensaje usando eth_sign. Sin embargo, el mensaje que el usuario firma es muy diferente de lo que cree. Podría otorgar permiso para realizar cualquier acción maliciosa que el estafador desee.

Las etapas de un ataque de phishing de eth_sign

Las tácticas populares para explotar la firma de mensajes incluyen airdrops falsos; DApps maliciosos creados para parecer legítimos pero cuyo único propósito es robar fondos; servicios de acuñación de NFT falsos; correos electrónicos de phishing; suplantación de soporte al cliente; y la creación de interfaces de puentes cruzados falsas. Todas estas herramientas nefastas tienen el propósito de hacer que los usuarios crean que están firmando un mensaje legítimo mientras, de hecho, le dan a los criminales acceso a sus fondos digitales.

Lo que hace que estos ataques sean particularmente peligrosos es que explotan el comportamiento condicionado de los usuarios de Web3 para firmar mensajes para verificar su identidad o aprobar acciones. Muchos usuarios tienden a firmar tales mensajes sin comprender completamente las implicaciones.

Ejemplos de la Vida Real

El Airdrop Falso de NFT

Los estafadores a menudo manipulan a sus víctimas con la promesa de recompensas inesperadas. Un usuario en este ejemplo de la vida real recibió un airdrop de NFT no solicitado en su billetera, con los remitentes afirmando que el usuario había ganado una recompensa significativa y solo necesitaba convertir su cupón de NFT en dinero.

Para reclamar el premio, el usuario es transferido a un sitio web vinculado para firmar un mensaje, que se presenta en un formato hexadecimal no legible. Suponiendo que esto sea parte estándar del proceso de verificación, el usuario firma. Sin embargo, este mensaje es una autorización ingeniosamente disfrazada que otorga al estafador control sobre los activos del usuario, lo que resulta en transferencias no autorizadas de su billetera.

Poco después, el usuario nota que se está transfiriendo una cantidad significativa de tokens de su billetera sin su consentimiento, dándose cuenta demasiado tarde de que ha sido estafado.

Conclusión Clave: Ten cuidado con cualquier oferta o airdrop no solicitado, especialmente aquellos que prometen recompensas significativas. Siempre verifica la legitimidad de la fuente antes de tomar cualquier acción adicional.

Suplantación de un Proyecto Reconocido

Los estafadores a menudo suplantan proyectos o cuentas reputadas para crear un sentido de credibilidad. En este ejemplo, los criminales crearon una cuenta falsa en X imitando la cuenta oficial de Baby Doge Coin. El suplantador había obtenido una insignia de verificación dorada para agregar una capa de credibilidad.

La cuenta falsa anunció un nuevo airdrop para los titulares de Baby Doge Coin e incluyó un enlace a un sitio web donde los usuarios podían reclamar el nuevo token. La publicación rápidamente ganó tracción, lo que añadió aún más a su apariencia de legitimidad. Los usuarios visitaron el enlace proporcionado, conectaron sus billeteras y firmaron un mensaje para confirmar su identidad y reclamar el airdrop.

Lo que las víctimas no sabían es que el mensaje firmado autorizaba la transferencia de tokens de sus billeteras a la dirección del atacante. La mayoría de los usuarios solo se dieron cuenta de que era una estafa cuando notaron que sus tokens de Baby Doge Coin habían desaparecido de sus billeteras.

Conclusión Clave: Siempre verifica la autenticidad de las cuentas de redes sociales con las que interactúas y ejerce precaución con cualquier mensaje que solicite tu firma. Pequeñas discrepancias, como un nombre de usuario ligeramente diferente o incorrecto, son clave para distinguir lo real de lo falso. En este ejemplo, el identificador X de la cuenta del estafador fue sutilmente alterado para parecerse casi al real, con una vocal duplicada al final.

Un Airdrop Falso de Nuevo Token

Crear un sentido de urgencia es otra táctica que los estafadores utilizan para presionar a los usuarios a tomar decisiones apresuradas. En este ejemplo, un usuario que se desplaza por su feed de redes sociales notó una publicación de lo que parece ser un proyecto de criptomonedas legítimo, anunciando un nuevo airdrop para un token llamado “Sunwaves”. La publicación afirma que hay una ventana limitada de 24 horas para reclamar el airdrop.

Intrigados por el anuncio, los usuarios visitan el sitio web mencionado en la publicación, que les solicita conectar sus billeteras y completar varios pasos de verificación, incluida la firma de un mensaje para confirmar su identidad y reclamar el airdrop.

Sin embargo, este mensaje firmado otorga al estafador permiso para transferir tokens de la billetera del usuario. El usuario rápidamente nota que tokens, incluidos activos valiosos, han sido transferidos sin su consentimiento.

Conclusión Clave: Sé escéptico con cualquier oferta que cree un sentido de urgencia. Los estafadores a menudo presionan a los usuarios para actuar rápidamente y así evitar que tomen el tiempo para evaluar y verificar la legitimidad de la oferta.

Cómo Binance Web3 Wallet te Mantiene Seguro

Para eliminar la posibilidad de que los usuarios caigan en una estafa de eth_sign, esta función está prohibida en Binance Web3 Wallet. Lo que esto significa en la práctica es que una vez que se activa eth_sign para una transacción, los usuarios serán advertidos de inmediato que esta transacción es altamente riesgosa debido a una solicitud de firma potencialmente maliciosa. Completar tal transacción no será posible.

Protegiéndote de Estafas

Para evitar estafas de firma de mensajes en el espacio Web3, es esencial tomar medidas de precaución:

1. Usa Plataformas Confiables: Solo firma mensajes en plataformas en las que confíes. Si una plataforma parece sospechosa por cualquier razón, es mejor evitarla.

2. No Confíes en Airdrops Inesperados: Ten cuidado con ofertas no solicitadas que parecen demasiado buenas para ser verdad, especialmente aquellas que prometen recompensas sustanciales.

3. Verifica las URL de DApp: Siempre verifica que la URL sea legítima antes de interactuar con una aplicación descentralizada. Los estafadores a menudo crean URL que se parecen a las reales.

4. Usa Billeteras Seguras: Utiliza billeteras reputadas que proporcionen medidas de seguridad contra mensajes maliciosos. Por ejemplo, Binance Web3 Wallet ha prohibido la función eth_sign para prevenir tales ataques.

5. Mantente Informado: Mantente al tanto de las últimas tácticas de estafas y las mejores prácticas de seguridad en el espacio blockchain.

Reflexiones Finales

Explorar el espacio descentralizado de los servicios y aplicaciones Web3 puede ser una aventura magnífica. Sin embargo, este entorno tiene sus propios riesgos, que requieren que los usuarios sean vigilantes e informados. Los estafadores pueden explotar herramientas como la firma de mensajes y la suplantación para llevar a cabo transacciones no autorizadas, resultando en pérdidas financieras significativas. Al ser conscientes de estos riesgos y adoptar algunas prácticas y hábitos de seguridad sencillos, puedes protegerte. Siempre ejerce precaución y mantente alerta para asegurar la seguridad de tus activos en el ecosistema Web3.

Lectura Adicional

  • Protege tu Criptografía: Comprendiendo los Ataques Globales de Malware en Curso y Qué Estamos Haciendo para Detenerlos

  • Cómo Evitar y Reportar Estafas de Servicios Falsos

  • Binance Previene Pérdidas Potenciales de Usuarios de $2.4 Mil millones en 2024 Hasta Ahora

Descargo de Responsabilidad de Riesgo: Las criptomonedas están sujetas a un alto riesgo de mercado y volatilidad de precios. Solo debes invertir en productos que conozcas y donde comprendas los riesgos asociados. Debes considerar cuidadosamente tu experiencia en inversión, situación financiera, objetivos de inversión y tolerancia al riesgo y consultar a un asesor financiero independiente antes de realizar cualquier inversión. Este material no debe interpretarse como asesoramiento financiero. El rendimiento pasado no es un indicador confiable del rendimiento futuro. El valor de tu inversión puede bajar tanto como subir, y puede que no recuperes la cantidad que invertiste. Eres el único responsable de tus decisiones de inversión. Binance no se hace responsable de las pérdidas que puedas sufrir. Para más información, consulta nuestros Términos de Uso y Advertencia de Riesgo. Este es un anuncio general. Los productos y servicios mencionados aquí pueden no estar disponibles en tu región.