Según MetaMask, un nuevo fraude de direcciones de billetera que se dirige a los copy-pasteadores descuidados está en creces. En una serie de tweets de ayer, el equipo de MetaMask tomó medidas para advertir a los usuarios desprevenidos de un tipo creciente de estafa llamada «envenenamiento de direcciones».
Los estafadores extraen la primera y las cuatro últimas combinaciones alfanuméricas de la dirección de un monedero y las utilizan para crear una nueva dirección falsa. A continuación, se envía una transacción de 0 dólares desde la dirección falsa recién creada para sustituir a la dirección almacenada correspondiente en su historial de transacciones. El envenenamiento de direcciones está dirigido a usuarios de criptomonedas que copian y pegan ciegamente direcciones en su historial de transacciones sin realizar una comprobación adicional muy necesaria.
La actualización de seguridad, sin embargo, fue recibida con disgusto por una parte de la comunidad de criptomonedas, que cree que el mayor proveedor de criptocarteras del mundo podría haber actuado con demasiada lentitud para hacerla pública. El usuario de Twitter Tuzun (@0xTuzun), que ya había publicado una advertencia pública del incidente el 2 de diciembre de 2022, ofreció más información sobre la naturaleza del ataque y el alcance de las carteras afectadas.
Según Tuzun, más de 340.000 direcciones han sido envenenadas desde diciembre de 2022, desplumando cerca de 95 monederos de víctimas desprevenidas por un valor aproximado de 1,6 millones de dólares. El análisis sitúa el coste total de los ataques en poco más de 25.000 dólares, lo que supone un margen de beneficio superior al 6.000%.
La explotación de las direcciones BSC y ETH se remonta al 22 y 27 de noviembre de 2022, respectivamente, con una amplia gama de atacantes procedentes de regiones de la zona horaria asiática, según los hallazgos de Tuzun.
Tuzun había utilizado la plataforma de monitorización en cadena Xplore para localizar a algunos de los presuntos culpables, recomendando además que MetaMask actualizara sus funciones de interfaz de usuario para que los usuarios identificaran las direcciones de monedero en el historial de transacciones mediante marcadores de color. También se aconseja a los usuarios que comprueben la composición alfanumérica de las direcciones de los monederos más allá de los cuatro primeros dígitos antes de transferir fondos.
La estafa de las direcciones envenenadas se suma a la lista de estafas cada vez más frecuentes en el sector de las criptomonedas, que el año pasado provocaron una pérdida colectiva de más de 3.500 millones de dólares.
El pasado mes de mayo, MetaMask firmó un acuerdo de colaboración con Asset Reality -una herramienta Saas para la recuperación de criptoactivos- con el objetivo de ayudar a las víctimas de estafas de criptomonedas a recuperar sus activos robados. Ocho meses después, no está claro cuánto han avanzado ambas empresas en la recuperación de activos. MetaMask aún no ha respondido a los usuarios afectados ni ha presentado planes de compensación por las pérdidas sufridas.
