Revelando los engaños en el mundo de las criptomonedas: La trampa de autorización de billetera
Solo le transferí un USDT, y los 500,000 en la billetera fueron robados, un caso real.
Hoy comparto un caso real de un compañero que fue estafado. En realidad, ya he compartido este tipo de estafas antes, pero hoy usaré el caso real de un compañero para mostrar cómo este estafador lo guió paso a paso para que cayera en la trampa.
Compartiré en detalle cuál es el principal objetivo del estafador a lo largo de todo el proceso y por qué necesita que realices esta operación.
En realidad, la lógica detrás de esto, ya la compartí en un artículo anterior. Sin embargo, las técnicas de este engaño son variadas, pero el objetivo final es el mismo. Espero que después de compartir esta experiencia de un compañero, todos aprendan de esto y no sean engañados en el futuro.
El origen del asunto es que el estafador compra U a un precio alto, 1 USDT puede ser cambiado por 9.4 RMB. Este estafador le pide a este compañero que use una billetera web3 sin clave de cierta plataforma; en realidad, no importa qué billetera uses. Usar la billetera de cierta plataforma, IM, TPtoken, u otras billeteras web3 es la misma operación. La esencia del problema no es la billetera, sino tus operaciones posteriores.
Este es el discurso del estafador. Él dice que el U de los intercambios es más fácil de rastrear y le pide a este compañero que retire el U a una billetera web3. Este compañero, siguiendo las instrucciones del estafador, usó una aplicación móvil de cierta plataforma para crear una billetera sin clave. Luego, el estafador le pidió a este compañero que transfiriera USDT a la nueva billetera sin clave. En realidad, el objetivo del estafador es que tú manejes la billetera web3, por lo que te guiará a transferir fondos a esa billetera web3.
Esta billetera web3 de cierta plataforma puede ser cualquier otra billetera web3. En este paso, el estafador aún no puede controlar tus activos. Esto es una operación donde el estafador guía a este compañero a retirar USDT de cierta plataforma a una billetera sin clave de cierta plataforma. La red utilizada por la billetera es TRON, en realidad, esto no tiene nada que ver con la red que usas. Puedes usar la cadena inteligente de Binance, la red Polygon, o la red de Ethereum, y aún así te pueden robar tu USDT.
Como justo usaste una billetera recién creada, este estafador sabe que tu billetera no tiene TRX para gas. Él transferirá 100 TRX a tu billetera como tarifa de gas. En realidad, parece que el estafador transfirió 130 TRX a este compañero como tarifa de gas. Aquí, el estafador ya ha transferido algunos TRX a este compañero y luego le pide que le transfiera un USDT para probar la billetera.
Llegado a este punto, repito tres veces, es muy, muy, muy importante. En realidad, el principal objetivo de esta estafa es hacer que realices esta operación de transferencia. Esta es parte del discurso del estafador. Hacer que le transfieras un USDT es principalmente para confirmar que tu cuenta puede transferir normalmente. Si tu cuenta puede transferir normalmente, entonces él ofrecerá comprar tus U a un precio alto, etc. Este tipo de discurso puede variar, y algunas tácticas para comprar y vender U negro o U falso son operaciones básicas. Su objetivo final es solo uno: transferir una suma de dinero desde tu billetera a la billetera del otro. Un discurso común es hacerte transferir un USDT para verificar si es un verdadero U.
Si este compañero cancelara la transacción en este momento, podría evitar ser estafado y además ganar algunos TRX. Pero es evidente que este compañero no comprende bien cómo usar una billetera web3, así que le transfirió un USDT al estafador. Nota que aquí la dirección de recepción de TRX proporcionada por el estafador es un código QR.
En realidad, este código QR no es una dirección de billetera, sino una página web cuidadosamente diseñada por el estafador. Después de que este compañero escanea el código QR con su billetera web3 sin clave, será redirigido a una página web. En esa página, ha colocado un código para engañar a la autorización. Tú crees que es solo una simple operación de transferencia, pero en realidad, lo que hace en el backend es engañar la autorización de tu billetera.
Cuando piensas que solo has transferido un USDT a la otra parte, pero al hacer clic en confirmar, lo que él llama desde el backend no es una operación de transferencia, sino una operación de autorización. El contenido de la autorización es transferir el control de tu billetera a la dirección del estafador, de esta manera, el estafador puede robar todos los activos de tu billetera.
La lógica detrás de esto es configurar una firma múltiple en la billetera. Esta firma múltiple también puede ser vista como la transferencia del control de la dirección de tu billetera actual a la dirección del estafador. Si no entiendes la firma múltiple, busca en Baidu, aquí no lo explicaré más. Él simplemente cambió el control de tu billetera según el código en el backend. Tú crees que estás haciendo la operación de confirmar la transferencia, pero en realidad está llamando a la operación de transferir el control de tu billetera en el backend.
En el caso que compartí anteriormente sobre la divulgación de frases de recuperación o estafas, él solo robó algunos costos de gas. En este caso, él roba directamente todos los activos de tu billetera. De todos modos, él necesita obtener tu autorización para poder transferir los fondos de tu billetera, así que los compañeros deben ser muy cautelosos al transferir.
Generalmente, cuando haces una transferencia o autorización, tu billetera siempre tendrá alertas. Sin embargo, hay algunos novatos que no prestan atención a ninguna alerta y simplemente hacen clic en confirmar. Si tus compañeros no saben usar una billetera web3, no la usen, usen la dirección de billetera del intercambio de manera honesta. Además, si vas a interactuar con un contrato inteligente, asegúrate de revisar las alertas de la billetera y no hagas clic ciegamente en autorizar. Esto es un caso real de un amigo que fue estafado, espero que todos aprendan de esto y no sean engañados nuevamente.
Bien, esto es todo el contenido de esta edición. Si crees que te ha sido útil, por favor apóyame con un 'me gusta' y sígueme, seguiré actualizando para revelar los engaños. Nos vemos en la próxima edición.