本文 Hash (SHA 1):221158eb736fa9ed3c6fb54451647bd73ca362c7
Número: Guía antifraude PandaLY de Chainyuan Technology No.003
Cuando la Reserva Federal anunció un recorte de tipos de interés de 50 puntos básicos (50 BP) en septiembre, desencadenó un auge comercial a gran escala en el mercado de cifrado y los datos de transacciones en la cadena aumentaron instantáneamente. En medio de una fuerte volatilidad del mercado, los inversores están luchando por ajustar sus carteras de activos en un intento de aprovechar la oportunidad de obtener mayores rendimientos. Sin embargo, esta ola de transacciones no sólo trae oportunidades para el crecimiento de la riqueza, sino también amenazas a la seguridad que acechan en la oscuridad. El equipo de seguridad de PandaLY descubrió que a medida que el volumen de transacciones se disparaba, los piratas informáticos también estaban activos en secreto, aprovechándose de la negligencia de los inversores durante las operaciones de alta frecuencia, y las estafas de direcciones de billeteras falsificadas mostraron un crecimiento explosivo.
Entre los casos de seguridad que hemos recibido recientemente, la proporción de casos de fraude que involucran direcciones de billetera falsificadas ha aumentado considerablemente. Este tipo de estafa falsifica cuidadosamente una dirección falsa que es similar a los últimos dígitos de la dirección real de la billetera del usuario, lo que induce a los usuarios a transferir fondos accidentalmente a una billetera controlada por piratas informáticos cuando transfieren dinero en la cadena. Debido a que muchos usuarios dependen de memorizar los últimos dígitos de las direcciones de sus billeteras, o están acostumbrados a copiar direcciones de registros históricos de transacciones para transferencias, esto brinda a los piratas informáticos una oportunidad, lo que resulta en que una gran cantidad de fondos caigan en manos de estafadores sin saberlo.
Detrás de este fenómeno, además de las intensas fluctuaciones del mercado, hay varios factores clave. En primer lugar, los hábitos operativos de los inversores al transferir dinero en la cadena hacen que este tipo de estafa sea extremadamente confusa, especialmente cuando los datos de las transacciones en la cadena aumentan rápidamente, los usuarios a menudo carecen de tiempo y energía para verificarlos cuidadosamente. En segundo lugar, los métodos técnicos de estos piratas informáticos se están volviendo cada vez más sofisticados y pueden generar rápidamente direcciones falsas e incluso hacer coincidir con precisión las mismas direcciones que las primeras o las últimas direcciones de la billetera del usuario, lo que aumenta aún más el ocultamiento de la estafa.
Por ello, con el fin de ayudar a los inversores a transferir dinero de forma segura y evitar eficazmente estafas en esta ola de auge del mercado, el equipo de seguridad de PandaLY analizará en detalle el mecanismo de funcionamiento de este tipo de estafas y revelará los principios técnicos que hay detrás de ellas. Al mismo tiempo, también le proporcionaremos un conjunto de pautas prácticas de prevención para ayudarlo a proteger sus activos digitales contra infracciones durante transacciones de alta frecuencia.
1. Principios técnicos del fraude de direcciones de billetera falsificadas
Mecanismo de generación de direcciones de billetera
En las transacciones blockchain, la dirección de la billetera es la identidad del usuario y cada dirección es única, lo que garantiza la seguridad y la inviolabilidad de la transacción. Sin embargo, generar una dirección de billetera con caracteres específicos no es tan complicado como podría pensar. Tomando la red Ethereum como ejemplo, los caracteres de cada dirección de billetera son un número hexadecimal (0-9 y A-F), lo que significa que si un hacker quiere generar una dirección de billetera con los mismos últimos N caracteres, la probabilidad de éxito es 16 Un tercio de la enésima potencia.
Aunque esta probabilidad parece extremadamente baja, los piratas informáticos, con la ayuda de scripts y potencia informática, pueden generar fácilmente estas direcciones falsas mediante el método transversal. Por ejemplo:
La probabilidad de generar una dirección con los mismos 4 dígitos es 1/65536, que se puede generar en unos segundos utilizando scripts y equipos informáticos comunes.
La probabilidad de una dirección con los mismos 5 dígitos es 1/1048576. Aunque la dificultad aumenta, aún se puede generar en menos tiempo utilizando scripts adecuados y equipos de mayor rendimiento.
La probabilidad de tener la misma dirección de 7 dígitos es sólo 1/268435456. Los piratas informáticos necesitan una potencia informática más potente y un tiempo de recorrido más prolongado, pero esto no es técnicamente imposible.
Según estadísticas recientes, el equipo de seguridad de PandaLY analizó algunos casos de direcciones falsificadas y descubrió que la mayoría de las direcciones falsas generadas por los piratas informáticos eran iguales a los últimos 5 a 7 dígitos de la dirección de destino. Estas direcciones falsas a menudo se generan mediante un método transversal simple. A un pirata informático solo le lleva unas pocas horas o incluso días generar suficientes bibliotecas de direcciones falsas para seleccionar objetivos para el fraude.
La estrategia de generación de billeteras falsas de un hacker
Las estrategias de ataque de los piratas informáticos son muy específicas y, por lo general, eligen como objetivos a usuarios de alto patrimonio neto, especialmente aquellos que con frecuencia realizan grandes transferencias en la cadena e interactúan con frecuencia entre múltiples billeteras. Una vez que estos usuarios sean atacados, los piratas informáticos comenzarán a implementar direcciones de billetera falsas y continuarán monitoreando el comportamiento de las transacciones de estos usuarios objetivo.
Los pasos del ataque del hacker son aproximadamente los siguientes:
1 Determine el objetivo: los piratas informáticos utilizarán herramientas de análisis de datos en cadena para descartar cuentas que frecuentemente realizan grandes transacciones, especialmente aquellos usuarios con múltiples direcciones interactivas.
2 Genere direcciones falsas: los piratas informáticos utilizan el método transversal para generar una dirección de billetera que sea igual a los últimos dígitos de la dirección de destino. Por lo general, los piratas informáticos generarán múltiples direcciones falsas para garantizar que las billeteras de uso común del usuario objetivo estén cubiertas.
3 Monitoreo en cadena: los piratas informáticos monitorean la dinámica de las transacciones de la cuenta objetivo en tiempo real. Cuando la cuenta objetivo transfiere fondos, el pirata informático utilizará inmediatamente la dirección falsa para realizar transferencias del mismo monto y falsificar registros de transacciones similares.
4 Usuarios confusos: cuando los usuarios realizan su próxima transferencia, a menudo copian la dirección de la billetera de los registros históricos de transacciones. Si un usuario sólo se basa en memorizar o simplemente comprobar los últimos dígitos de una dirección, existe un alto riesgo de transferir fondos accidentalmente a la billetera falsificada de un pirata informático.
Esta estrategia de ataque es extremadamente confusa, especialmente en el caso de transacciones de alta frecuencia. Los usuarios suelen tener poco conocimiento de la prevención y es más probable que se sientan confundidos por direcciones falsificadas. Una vez que los fondos se transfieren a una billetera falsificada, es extremadamente difícil rastrearlos y recuperarlos, lo que a menudo causa pérdidas irreversibles a los usuarios.
2. Análisis de estafas
Según los últimos datos del equipo de seguridad de PandaLY, con el aumento en el volumen de transacciones en cadena, en los últimos tiempos se han producido con frecuencia estafas con direcciones de billeteras falsas, especialmente en redes de alto volumen de transacciones como Ethereum y TRON. Los casos de fraude de direcciones de billetera falsificadas aumentaron un 45% en el último trimestre, y la mayoría de las víctimas eran usuarios comerciales de alta frecuencia. La tasa de engaño de este tipo de usuarios es un 35% mayor que la de los usuarios comunes, y estas víctimas a menudo transfieren fondos por error a direcciones falsas al realizar múltiples transferencias en un corto período de tiempo.
En estos casos, alrededor del 60% de las direcciones falsificadas coincidían con los últimos 5 o 6 dígitos de la dirección de destino, y el 25% incluso coincidía con los últimos 7 dígitos de la dirección de destino. Este alto grado de coincidencia es extremadamente confuso, lo que facilita que los usuarios juzguen mal y transfieran fondos a billeteras controladas por piratas informáticos. Una vez que los fondos se transfieren a una dirección falsa, la recuperación es extremadamente difícil. La tasa actual de recuperación de fondos en tales casos es sólo del 15%, lo que resalta aún más la importancia de las medidas preventivas.
A través de un análisis en profundidad de casos típicos, el equipo de PandaLY descubrió que los piratas informáticos suelen utilizar herramientas de monitoreo en cadena para capturar con precisión el momento de las transacciones de los usuarios objetivo y falsificar registros de transacciones aparentemente idénticos para confundir el juicio de los usuarios. Especialmente aquellos usuarios que frecuentemente realizan grandes transacciones, a menudo solo verifican los últimos dígitos de su dirección de billetera en caso de emergencia, cayendo así en una estafa.
Proceso de implementación de estafa
El núcleo de la estafa de direcciones de billetera falsas es que los piratas informáticos utilizan medios técnicos para generar direcciones falsas que tienen los mismos caracteres que la dirección de destino para confundir el juicio de los usuarios. Cuando los usuarios realizan transferencias en cadena, generalmente confían en la función de copia rápida de las direcciones de billetera en los registros históricos de transacciones, lo que brinda oportunidades a los piratas informáticos.
El proceso específico es el siguiente:
1. Los piratas informáticos se dirigen a los usuarios objetivo: los usuarios objetivo suelen ser usuarios que realizan con frecuencia transacciones en cadena a gran escala.
2. Generar una dirección falsificada: el hacker recorre el script y genera una dirección de billetera que es igual a los últimos dígitos de la dirección de destino.
3. Monitorear el comportamiento de las transacciones: los piratas informáticos monitorean las transacciones en cadena de la cuenta objetivo en tiempo real. Cuando un usuario inicia una transacción, el pirata informático inicia simultáneamente una transacción por el mismo monto, lo que confunde los registros.
4. Mal funcionamiento del usuario: cuando el usuario realiza la siguiente transferencia, es probable que solo verifique los últimos dígitos de la dirección de la billetera, lo que provoca que se copie la dirección falsificada y los fondos se transfieran por error a la billetera del pirata informático.
Abordar el ataque de envenenamiento
Además, dado que el objeto de la transferencia de activos cifrados es una cadena de hashes de direcciones, los usuarios generalmente utilizan la función de copia de direcciones proporcionada por la billetera o el navegador para pegar e ingresar la dirección de la billetera de la contraparte de la transferencia. Dado que los navegadores blockchain y las páginas de billetera web3 generalmente no muestran las direcciones completas de ambas partes de la transacción, sino que muestran la primera dirección con puntos suspensivos ocultos en el medio. Si la dirección de phishing es la misma que la dirección de la contraparte real, la víctima puede fácilmente identificar erróneamente la dirección de phishing. Trátela como la dirección con la que realmente desea interactuar.
Al realizar un ataque de envenenamiento de direcciones, el atacante monitoreará la información de las transacciones de monedas estables (como USDT, USDC) u otros tokens de alto valor en la cadena, y utilizará herramientas como generadores de cuentas falsas (como Profanity 2) para generar rápidamente información relacionada con la víctima direcciones de phishing con el mismo primer y último carácter.
Según los diferentes principios del lanzamiento de transacciones de ataque, el phishing por envenenamiento de direcciones se puede dividir en las siguientes tres categorías:
Pesca con transferencia cero
El ataque de transferencia cero utiliza la función transferFrom para determinar el monto de la autorización. Cuando la cantidad de tokens transferidos es cero, la transacción se realiza con éxito y se emite un registro de eventos para la transferencia del token, incluso sin la autorización del remitente. Los navegadores y billeteras blockchain monitorean este evento y muestran la transacción de transferencia de token en el historial de transacciones del usuario.
La dirección del iniciador de la transferencia es la propia dirección de la víctima y la dirección del destinatario es una dirección de phishing que tiene el mismo comienzo y final que la dirección del destinatario real [21]. Si la víctima es descuidada y copia directamente la dirección de la transacción histórica la próxima vez que transfiere dinero, es fácil copiarla por error a la dirección de phishing preparada por el pirata informático, transfiriendo así los fondos equivocados.
Para este ataque de envenenamiento de direcciones más básico, solo necesitamos identificar transacciones que transfieran cero tokens.
Para eludir los controles de las carteras y los navegadores blockchain en las transferencias de valor cero, surgió el phishing de transferencias de pequeño valor y el phishing de moneda falsificada.
Pesca de transferencia pequeña
Los ataques de pequeño valor son una variante del phishing de transferencia de valor cero. A diferencia de los ataques con moneda falsificada, los ataques de pequeño valor utilizan tokens de valor real y pueden eludir los controles de moneda falsificada, pero la cantidad de tokens transferidos suele ser inferior a 1 dólar estadounidense, que es una millonésima parte o incluso menos que la de las transacciones reales. Para que la transacción de phishing se parezca más al historial de transacciones real, el atacante de phishing diseñará cuidadosamente el monto de la transferencia y reemplazará el separador de miles del monto de la transacción real con un punto decimal.
El atacante de phishing utiliza una dirección falsificada con el mismo comienzo y final para enviar monedas falsas con las características de cantidad anteriores a la víctima objetivo, lo que hace que el usuario crea erróneamente que la dirección de phishing es la dirección real del iniciador de la transferencia y copie la dirección en posteriores transacciones para transferirles dinero.
Pesca de dinero falso
Al mostrar el historial de transferencia de tokens, los navegadores y billeteras blockchain generales utilizarán el valor de la variable Símbolo en el contrato del token como nombre de la moneda. El ataque de moneda falsificada aprovecha la característica de símbolo definible arbitrariamente del token del protocolo ERC-20 y establece la cadena de símbolo del contrato de token fraudulento en la misma cadena que los tokens de alto valor o monedas estables como USDT/WETH/USDC. y utiliza el primer y el último carácter. La misma dirección de imitación alta envía la misma cantidad de monedas falsas que las transacciones históricas reales a la víctima objetivo, lo que hace que el usuario piense erróneamente que la dirección de phishing es la dirección real del iniciador de la transferencia y copie la dirección. en transacciones posteriores para transferirles dinero.
Además, para ahorrar costos de gas (especialmente en cadenas costosas como Ethereum), los estafadores en ataques de envenenamiento de direcciones generalmente implementarán un contrato de phishing para transferir tokens a múltiples víctimas en una sola transacción.
¿Por qué los usuarios se dejan engañar fácilmente?
Cuando los usuarios utilizan con frecuencia navegadores en cadena para encontrar registros de transacciones, a menudo dependen solo de los últimos dígitos de la dirección de la billetera para una confirmación rápida, lo que se ha convertido en una vulnerabilidad importante explotada por los piratas informáticos. Debido a los requisitos de velocidad y frecuencia de las transacciones, los usuarios a menudo descuidan verificar completamente las direcciones, especialmente cuando realizan múltiples transacciones similares, y es más fácil transferir fondos por error a direcciones falsas generadas por piratas informáticos.
Este tipo de fraude se aprovecha de los hábitos de "simplificación" de los usuarios en la operación, y este método de operación aparentemente eficiente es en realidad extremadamente riesgoso. Para evitar tales riesgos, los usuarios deben verificar completamente la dirección de la billetera al realizar cada transferencia y nunca confiar únicamente en los últimos dígitos de la dirección para una confirmación rápida.
3. Medidas para prevenir estafas con direcciones de billetera falsificadas
1. No haga coincidir las direcciones de la billetera solo de memoria
En las transacciones de blockchain, los hábitos operativos de los usuarios a menudo crean oportunidades para los piratas informáticos. Cuando muchas personas usan con frecuencia una determinada dirección de billetera, confían en su memoria para verificar los últimos dígitos de la dirección. A primera vista, recordar el primer o el último dígito de una dirección puede parecer una forma conveniente de simplificar las transacciones, especialmente si los usuarios están acostumbrados a hacer las cosas rápidamente. Sin embargo, este hábito es extremadamente peligroso. Los piratas informáticos se aprovechan de la "pereza" de este usuario y engañan a los usuarios generando direcciones falsificadas que son parcialmente similares a la dirección de destino.
No solo eso, los piratas informáticos pueden incluso utilizar medios técnicos para generar direcciones falsas que son iguales a la dirección de destino antes y después, aumentando así aún más la confusión. Simplemente comprobar los primeros o los últimos dígitos de una dirección ya no es suficiente para garantizar la seguridad. Los piratas informáticos monitorearán las actividades en la cadena, implementarán rápidamente direcciones similares y "atacarán" cuando el usuario objetivo transfiera dinero.
Por lo tanto, lo más seguro es volver a verificar la dirección completa cada vez que transfieras dinero, especialmente al realizar transacciones grandes, para asegurarte de que todos los caracteres coincidan. También puede utilizar complementos de seguridad o herramientas de automatización para reducir posibles errores en las operaciones manuales. Además, actualizar periódicamente su proceso comercial y recordarse prestar atención a los detalles son pasos importantes para evitar ser víctima de supervisión.
2. Utilice la función de lista blanca
Para abordar el problema de la confusión de direcciones en transacciones frecuentes, muchas billeteras y plataformas comerciales convencionales han lanzado la función de "lista blanca", que es una medida de seguridad extremadamente efectiva. A través de la función de lista blanca, los usuarios pueden guardar direcciones de pago utilizadas con frecuencia para evitar ingresar direcciones manualmente para cada transacción, reduciendo así el riesgo de errores de entrada humana o de ser engañados por direcciones falsas.
En plataformas comerciales, como Binance o Coinbase, los usuarios pueden configurar la dirección de pago como una dirección fija de antemano y, después de habilitar la función de lista blanca, no se agregarán nuevas direcciones no autorizadas. De esta manera, incluso si un pirata informático intenta alterar la dirección mediante un ataque de phishing, los fondos se transferirán de forma segura a la dirección preestablecida en la lista blanca.
Para billeteras descentralizadas (como MetaMask), la función de lista blanca es igualmente importante. Los usuarios pueden guardar direcciones utilizadas con frecuencia para evitar tener que volver a ingresar una larga cadena de caracteres de dirección cada vez que realizan transferencias, lo que reduce la posibilidad de operaciones incorrectas. Además, al operar en la cadena, a través de este mecanismo de lista blanca, los usuarios pueden verificar y utilizar rápidamente direcciones verificadas en un corto período de tiempo para garantizar la seguridad de cada transacción.
La función de lista blanca no sólo evita eficazmente que los usuarios cometan errores manuales, sino que también proporciona a los operadores de alta frecuencia una experiencia operativa cómoda y segura. Mantener y actualizar periódicamente la lista blanca y eliminar direcciones riesgosas o que se utilizan con poca frecuencia también es clave para mejorar la seguridad.
3. Comprar la dirección ENS (Servicio de nombres de dominio Ethereum)
ENS (Ethereum Name Service) es una tecnología innovadora que permite a los usuarios vincular direcciones complejas de billetera Ethereum a nombres de dominio cortos y fáciles de recordar. Esto proporciona a los usuarios una solución extremadamente cómoda y segura, especialmente cuando se requiere introducir direcciones con frecuencia. Al asignar la dirección de la billetera a un nombre de dominio ENS fácil de recordar (como "mywallet.eth"), los usuarios ya no necesitan ingresar la dirección Ethereum de 42 dígitos palabra por palabra, evitando el riesgo de perder fondos debido a errores de entrada manual.
Sin embargo, los nombres de dominio de ENS no son válidos permanentemente. Cada dirección de ENS tiene un período de validez y los usuarios deben renovarla periódicamente para garantizar el uso a largo plazo del nombre de dominio. Si el nombre de dominio caduca y no se renueva, otros pueden apresurarse a registrar la dirección ENS, lo que a su vez amenaza la seguridad de la transacción del usuario. Una vez que otros registran la dirección de ENS, todas las direcciones de transacciones vinculadas al nombre de dominio de ENS pueden apuntar a la billetera del pirata informático, lo que resulta en la pérdida de fondos. Por lo tanto, después de comprar un nombre de dominio ENS, los usuarios deben configurar un recordatorio de renovación para garantizar la renovación oportuna antes de la fecha de vencimiento y evitar que otros se apropien de la dirección.
Al mismo tiempo, aunque ENS simplifica enormemente la gestión de direcciones, también conlleva nuevos riesgos de seguridad. Si un pirata informático se apodera de una dirección ENS conocida o de uso común, puede utilizarla para campañas de phishing. Por lo tanto, los usuarios deben elegir cuidadosamente la compra de nombres de dominio ENS y verificar periódicamente su validez y la información de dirección vinculada.
En general, ENS no es solo una herramienta para mejorar la experiencia del usuario, sino que también puede usarse como medida de seguridad, pero aun así es necesario prestar atención a los problemas de renovación y mantenimiento al usarlo para evitar posibles riesgos de seguridad. Al utilizar ENS de forma adecuada, los usuarios pueden reducir significativamente la posibilidad de errores de entrada al transferir dinero y mejorar la seguridad de las transacciones.
Conclusión
En definitiva, a medida que se intensifica la volatilidad del mercado de las criptomonedas, los inversores también se enfrentan a riesgos de seguridad sin precedentes mientras persiguen altas rentabilidades, especialmente la proliferación de estafas con direcciones de carteras falsas. Los piratas informáticos se aprovechan de los hábitos operativos y la negligencia de los inversores generando direcciones falsas que son muy similares a las direcciones reales y transfiriendo grandes cantidades de fondos bajo su control. El equipo de seguridad de PandaLY insta a los inversores a evitar confiar en la coincidencia de memoria o copiar direcciones en el historial y comprobar siempre cada carácter. Al mismo tiempo, haga un uso razonable de herramientas de seguridad, como funciones de lista blanca y direcciones ENS, para fortalecer las medidas de protección de fondos. La inversión segura no es la búsqueda ciega de altos rendimientos, sino la prevención estricta de cada detalle. Sólo aumentando la vigilancia y mejorando los hábitos operativos se puede lograr una apreciación constante de los activos en el mercado de las criptomonedas, que está lleno de oportunidades y riesgos.
Chainyuan Technology es una empresa que se centra en la seguridad blockchain. Nuestro trabajo principal incluye investigación de seguridad de blockchain, análisis de datos en cadena y rescate de vulnerabilidades de activos y contratos, y hemos recuperado con éxito muchos activos digitales robados para individuos e instituciones. Al mismo tiempo, estamos comprometidos a proporcionar informes de análisis de seguridad de proyectos, trazabilidad en cadena y servicios de soporte/consultoría técnica a organizaciones industriales.
Gracias por leer, continuaremos enfocándonos y compartiendo contenido de seguridad blockchain.
