decrypt.co
Tras el último hackeo de NFT de alto perfil, que esta vez ha tomado al empresario tecnológico Kevin Rose, las ventajas de seguridad de las wallets de autocustodia volvieron a hacer furor en Twitter de criptomonedas.
El miércoles, el creador de Proof y del proyecto NFT Moonbirds fue víctima de un ataque de phishing después de que el estafador enviara a Rose un mensaje que aprovechaba los permisos que ya había aportado a su wallet MetaMask en el mercado OpenSea. Una vez firmado el mensaje, el ladrón utilizó esos privilegios para extraer de su wallet más de 40 NFTs, incluido un NFT de Autoglyphs valorado en casi 500.000 dólares.
Un tuit que respondía a Rose señalaba que la popular criptomoneda Solana, Phantom, había advertido a sus usuarios de la existencia de un sitio web malicioso y había bloqueado el sitio web que había atrapado a Rose. El desarrollador de la wallet respondió: "te cubrimos la espalda".
Al igual que MetaMask, Phantom cuenta con un navegador y una aplicación móvil que los usuarios pueden utilizar para adquirir, comprar o enviar sus colecciones de NFT favoritas.
We got your back 🤝 https://t.co/8ZGPj4o2r6
— Phantom (@phantom) January 25, 2023
"Siempre hemos hecho ciertas formas de bloqueo—inicialmente manual a través de una lista de bloqueo de código abierto, y luego cada vez más automatizada y sofisticada con el tiempo", dijo Francesco Agosti, cofundador y CTO de Phantom, a Decrypt a través de un mensaje directo. "Tienes que mantenerte al día con los estafadores, que están ideando nuevas estrategias todo el tiempo, para ser eficaz".
En una publicación de blog el miércoles, Phantom abordó el tema de la suplantación de identidad y las estafas, diciendo que la wallet ha escaneado más de 85 millones de transacciones y bloqueado más de 18.000 transacciones que drenan la wallet.
Agosti afirma que Phantom utiliza sistemas manuales y automatizados para mantener actualizada su lista de sitios web bloqueados, y que la empresa bloquea proactivamente los sitios que encuentra de características sospechosas.
Agosti reconoció que el problema que afectó ayer a Rose fue que firmó un mensaje, no una transacción. Phantom no analiza actualmente los mensajes, pero Agosti dijo que la empresa está trabajando para hacerlo en una futura versión.
"No tienes que cambiar ninguna configuración; está todo activado por defecto", dijo. "Probablemente no lo notarás cuando uses dApps seguras, pero se activa cuando visitas un sitio web o intentas enviar una transacción que creemos que es maliciosa".
El phishing es una de las formas más comunes de ataques en línea. Estas estafas pueden llegar por correo electrónico, redes sociales o mensajes de texto. El miércoles, la cuenta de Twitter de la plataforma de intercambio Robinhood fue comprometida por hackers que lanzaron un ataque de phishing haciéndose pasar por la popular plataforma de operaciones.
Independientemente del método de transmisión, las estafas de phishing piden a los usuarios que respondan de alguna manera, ya sea contestando a un mensaje de texto o haciendo clic en un enlace que los conecta a un sitio web malicioso. Y aunque cualquier dispositivo conectado a Internet es un objetivo potencial, Agosti afirma que Phantom wallet viene preparado.
"La suplantación de identidad es bastante constante—quizá crece en general a medida que más usuarios entran en el espacio y la oportunidad se hace más atractiva. En cuanto a las estafas reales—fluctúan. Normalmente, lo que ocurre es que las cosas se mantienen estables durante un tiempo, y luego los estafadores descubren una nueva estrategia que funciona muy bien, y entonces el número de estafas se dispara a medida que el ecosistema se adapta a esa nueva estrategia. Es como un sistema inmunitario", explica.