criptopasion.com
En resumen, la billetera MetaMask de Ethereum se actualizó para que los usuarios sepan mejor qué están firmando cuando se solicita un determinado permiso. Esa función se usa ampliamente en estafas en las redes sociales que han visto a los usuarios perder millones de dólares en NFT y tokens. Las estafas en las redes sociales están en auge en el espacio NFT, con usuarios de Twitter y Discord engañados para que conecten sus billeteras criptográficas a contratos inteligentes maliciosos y, como resultado, sus NFT y otros tokens sean robados. Ahora, la billetera superior de Ethereum, MetaMask, ha actualizado su interfaz para tratar de ayudar a los usuarios a reconocer y evitar este tipo de estafas. MetaMask lanzó una nueva actualización 10.18.0 para la billetera esta semana, que incluye un cambio en la forma en que el software presenta un permiso solicitado setApprovalForAll. Otorgar ese permiso le permite al contrato inteligente, el código que impulsa los NFT y las aplicaciones descentralizadas, la capacidad de acceder y transferir todos los NFT y tokens en una billetera. Tras la actualización, como firma de seguridad Wallet Guard señaló en TwitterMetaMask ahora deja más claro que un contrato inteligente solicita permisos amplios, incluido el acceso a los fondos que se encuentran dentro de la billetera, una función que se puede usar para los llamados exploits de “drenador de billetera”.
.@Metamask 10.18.0 está disponible 🙌 Esta actualización incluye el énfasis muy necesario para cuando una transacción solicita “Establecer aprobación para todos” Felicitaciones al equipo por abordar esto rápidamente pic.twitter.com/zWHVVPszzR
— Guardia de billetera (@wallet_guard) 27 de julio de 2022
Las capturas de pantalla publicadas en el repositorio de desarrollo de software GitHub de MetaMask muestran un nuevo indicador que usa una fuente más grande que el resto de la interfaz. El texto de ejemplo dice: “¿Dar permiso para acceder a todos sus BAYC?” (o Bored Ape Yacht Club), con una advertencia adicional que dice: “Al otorgar permiso, está permitiendo que la siguiente cuenta acceda a sus fondos”. El ingeniero de software de MetaMask, Alex Donesky, escribió en GitHub el 22 de junio que “existe cierta urgencia por sacar algo, ya que este método se usa con tanta frecuencia”. También agregó que la “línea de tiempo está comprimida” y admitió que no era así como abordaría el cambio si hubiera más tiempo para desarrollarlo. De hecho, la actualización llega después de una serie de estafas que se propagan principalmente a través de cuentas de redes sociales pirateadas. En la primavera, las cuentas verificadas de numerosos usuarios de Twitter fueron secuestradas y utilizadas para compartir enlaces fraudulentos inspirados en proyectos destacados de NFT como Azuki y Otherside, y robar NFT y tokens de usuarios que, sin saberlo, conectaron sus billeteras a los contratos inteligentes. Más recientemente, las cuentas de Twitter de varios proyectos de NFT y coleccionistas notables fueron pirateadas para compartir tipos similares de enlaces, facturándolos como un NFT gratuito o token drop. Tales estafas también han tenido lugar a través de cuentas pirateadas de Discord e Instagram. Ha llevado a un debate sobre si los creadores y los proyectos deberían compensar a los usuarios que pierden activos a través de este tipo de estafas. A principios de este mes, la plataforma de registro de entrega de NFT, Premint, se vio afectada por un ataque a su sitio web que utilizó la función setApprovalForAll para robar una variedad de valiosos NFT y tokens de los usuarios afectados. En última instancia, la empresa reembolsó a los usuarios por una suma de más de $ 500,000 en ETH, y también compró y devolvió un par de costosos coleccionables NFT. “La interfaz de usuario de las billeteras más populares debe mejorarse drásticamente para que sea casi imposible que alguien se conecte a un drenador de billeteras”, dijo a Decrypt el fundador de Premint, Brenden Mulligan, la semana pasada. “Este es un problema solucionable, pero es una locura que sea tan fácil vaciar una billetera y no haya más advertencias para proteger a las personas”. Para ser claros, la actualización de MetaMask no hace ningún juicio sobre el contrato al que los usuarios intentan conectarse, y no menciona específicamente las estafas identificadas. Además, existen usos potencialmente legítimos para la función setApprovalForAll para ciertas dapps, como en los mercados de NFT, que solo confunden aún más la decisión del usuario. Aún así, la actualización de MetaMask podría ayudar a minimizar el impacto de las estafas. Algunos cobradores de NFT que han caído en este tipo de estafas en las redes sociales han sido acusados de aprobar transacciones de manera imprudente debido a FOMO y el frenesí especulativo en torno a los NFT, y este paso adicional podría hacer que los usuarios se detengan y tengan la oportunidad de reconsiderar sus acciones. Veremos si MetaMask lleva esta nueva función más allá en futuras actualizaciones, así como si las billeteras de la competencia adoptarán técnicas similares. Las estafas no se limitan a los usuarios de MetaMask, después de todo, y tampoco a Ethereum. Solana tiene una función similar (signAllTransactions), y un notable coleccionista de NFT acaba de ser víctima de una estafa de este tipo a través de su billetera Phantom.
Rescatar a un monje perdido: autopsia sobre cómo vaciar una billetera y perder mi PFP En primer lugar, este hilo no es un llamado para donaciones. Tengo fondos para recuperar lo que se ha perdido y aunque aprecio el amor, ¡su dinero sería mejor servido ayudando a otras personas! — N◎M (🥐,🍌) (@TheOnlyNom) 28 de julio de 2022
El seudónimo cofundador de MonkeDAO, Nom, anoche tuiteó sobre cómo su billetera se agotó en un ataque cuando interactuó con un contrato inteligente que pensó que era seguro de usar. Nom escribió que perdió alrededor de 500 SOL (alrededor de $ 20,200) y NFT, incluido uno de Solana Monkey Business, que el atacante luego vendido por 197 SOL ($7,736).