- Los vaciadores de NFT como Inferno y Venom se utilizan habitualmente para llevar a cabo ataques de phishing con servidores de Discord y cuentas de Twitter comprometidos.
- Estos drenadores se han utilizado para robar 73 millones de dólares de más de 32.000 monederos, dejando 900 servidores Discord comprometidos a su paso.
- Nos sumergimos en el turbio submundo que se esconde tras esta actividad y analizamos quién está llevando a cabo los ataques.
A veces es bueno desconfiar de los periodistas.
Es el caso de Orbiter Finance. El mes pasado, un supuesto periodista que decía pertenecer a un sitio de cripto noticias se puso en contacto con uno de sus moderadores de Discord y le pidió que rellenara un formulario. El moderador no se dio cuenta de que este simple acto le entregaría el control de su servidor de Discord.
Una vez dentro, el autor congeló el control de otros administradores sobre el servidor y restringió la capacidad de los miembros de la comunidad para enviar mensajes. Publicaron un anuncio para un falso lanzamiento aéreo, enviando a todo el mundo a un sitio web de phishing diseñado para robar sus NFT. Y funcionó. En total, robaron un millón de dólares en NFT y fichas en un abrir y cerrar de ojos, mientras el equipo sólo podía mirar.
«Estábamos muy preocupados», explica Gwen, directora de desarrollo de negocio de Orbiter Finance, que relató lo sucedido en una entrevista. «Si causamos algún daño [a los miembros de nuestra comunidad], acabaremos perdiendo la confianza de ellos».
El ataque a Orbiter es solo un ejemplo reciente en una larga cadena de exploits que implican a drainers o drenadores de NFT y servidores de Discord o cuentas de Twitter comprometidas. Los datos recopilados por el analista de NFT y experto en seguridad conocido como OKHotshot muestran que al menos 900 servidores de Discord se han visto comprometidos desde diciembre de 2021 para llevar a cabo ataques de phishing – con una notable tendencia al alza en los últimos tres meses.
Estos ataques han afectado al menos a 32.000 monederos de víctimas en los últimos nueve meses, según los datos recopilados por PeckShield y múltiples cuadros de mando en Dune Analytics. En total, los atacantes han robado NFT y tokens por un valor combinado de 73 millones de dólares.
Las caras detrás de los ataques
Estas tramas suelen implicar tejemanejes en un mercado negro emergente de código de drenaje.
Los orquestadores de los ataques de phishing primero se dirigen a Telegram y Discord, donde pueden encontrar canales gestionados por los desarrolladores de numerosos tipos diferentes de drenadores. Se ponen en contacto con el desarrollador y compran el drenador, que adopta la forma de un conjunto de código que puede integrarse en sitios web, y suelen comprometerse a entregar entre el 20 y el 30% de los beneficios al desarrollador. A continuación, utilizarán sus propios métodos -uno de ellos es el ejemplo del sitio de noticias falsas descrito anteriormente- para comprometer un servidor de Discord o una cuenta de Twitter y anunciar un sitio web falso que contenga el código del drenador de NFT para robar NFT y cualquier cosa a la que puedan echar el guante.
Es decir, cuando no están ocupados con los deberes.
«El 95% de ellos son chavales menores de 18 años y todavía están en el instituto», afirma un investigador de seguridad seudónimo conocido como Plum, que trabaja en el equipo de confianza y seguridad del mercado de NFT OpenSea, y añade que por eso el número de ataques tiende a aumentar durante las vacaciones de verano.
«Personalmente he hablado con bastantes de ellos y sé que todavía están en la escuela», dijo Plum. «He visto fotos y vídeos de varios de ellos en sus colegios. Hablan de sus profesores, de cómo suspenden las clases o de cómo tienen que hacer los deberes».
Estos chicos parecen hacer pocos esfuerzos por ocultar sus nuevas riquezas.
«Se compran un portátil, algunos teléfonos, zapatos y gastan grandes cantidades de dinero en Roblox. Casi todos juegan a Roblox. Así que compran el equipo más chulo para su avatar de Roblox, videojuegos, skins y cosas así», explica Plum.
Plum añadió que a menudo también compran tarjetas regalo con criptomonedas en el mercado de tarjetas regalo Bitrefill, gastan miles de dólares en Uber Eats, compran ropa de diseño, pagan a gente para que les haga los deberes e incluso compran coches que aún no pueden conducir. Y también apuestan.
«Apuestan 40.000 dólares cada uno en una partida de póquer en línea y la retransmiten a todos los demás jugadores en una llamada de Discord. Todo el mundo verá a esta persona jugar a esta partida de póquer», explican.
Según Plum, los exploiters intentan ocultar su rastro pagando a personas de países con ingresos bajos para que utilicen sus datos personales para registrarse en las bolsas y así ocultar el rastro cuando cobran. Pero aseguran que al menos algunos de ellos ya deberían haber sido descubiertos, porque dejan tras de sí numerosas pruebas de sus acciones, si no fuera por la falta de interés de las fuerzas de seguridad en atraparlos.
En cuanto a por qué los autores creen que pueden salirse con la suya en este tipo de ataques, Plum especuló con que «se sienten invencibles, tienen el modo Dios: que nadie puede tocarles».
Aunque países como Corea del Norte también están implicados en ataques de phishing dirigidos a NFT, suelen utilizar sus propios drenadores y están menos implicados en la venta de drenadores, afirma Plum. En cuanto a los creadores de los drenadores de NFT, que en algunos casos llevan a cabo los ataques con su propia tecnología, son un poco más escurridizos, pero sus perfiles seudónimos dejan un rastro claro.
El auge de los NFT drainers
Uno de los primeros vaciadores de NFT, Monkey, creó su canal de Telegram en agosto. Pero no fue hasta octubre cuando empezó a estar realmente activo. En los meses siguientes, su tecnología se utilizó para robar 2.200 NFT, según PeckShield, por valor de 9,3 millones de dólares, y otros 7 millones en tokens.
El 28 de febrero, Monkey decidió retirarse. En un mensaje de despedida, su desarrollador dijo que «todos los jóvenes ciberdelincuentes no deberían perderse en la búsqueda del dinero fácil». Dijeron a su clientela que utilizara un drenador rival conocido como Venom.
Venom era un digno competidor. Fue otro de los primeros drenadores, y con el tiempo se utilizó para robar más de 2.000 NFT a más de 15.000 víctimas. Los clientes del drenador utilizaron 530 sitios de phishing para llevar a cabo ataques dirigidos a criptoproyectos como Arbitrum, Circle y Blur, cosechando un total de 29 millones de dólares entre NFT, éter y varios tokens.
Aunque Venom fue uno de los primeros vaciadores de NFT en utilizar la multicadena, no lo hizo muy bien, según señalaron los expertos en seguridad. Pero el suyo fue el primer drenador utilizado para robar NFT en el mercado de NFT Blur.
Otros competidores fueron Inferno, que se utilizó para robar 9,5 millones de dólares a 11.000 víctimas, y Pussy, que se utilizó para robar 14 millones de dólares a 3.000 víctimas. Los clientes de Angel, que se originó en un foro de piratas informáticos rusos, lo utilizaron para robar 1 millón de dólares a más de 500 víctimas en forma de NFT y varios tokens, la última vez comprometiendo la cuenta de Twitter del monedero criptográfico Zerion.
Y luego llegó Pink.
El curioso caso de Pink
El 25 de octubre, Fantasy, experto en seguridad y cofundador de la firma de cripto seguridad BlockMage, estaba indagando en el servidor Discord de Wallet Guard, un cripto producto diseñado para proteger contra ataques de phishing. Fue aquí donde se topó con otra cuenta llamada BlockDev, que afirmaba ser un investigador de seguridad y gestionaba una cuenta de Twitter llamada Chainthreats donde publicaba información de seguridad sobre exploits.
Aunque Fantasy y BlockDev tuvieron algunos desacuerdos cuando se conocieron, con el tiempo empezaron a hablar con regularidad. Entonces a BlockDev se le ocurrió una idea: explotar el monedero de criptomonedas propiedad del desarrollador del drenador Venom, utilizando su propia API contra él. BlockDev explicó cómo planeaban hacerlo y luego llevó a cabo el ataque, robando 14.000 dólares en criptodivisas al desarrollador de Venom. Fantasy observó cómo sucedía todo y anotó la cartera que BlockDev utilizó para llevar a cabo el ataque.
A principios de año, irrumpió en escena un nuevo drenador de NFT llamado Pink. Este parecía más avanzado que sus predecesores. Rápidamente se hizo popular y se utilizó para robar NFT en una oleada de ataques. Sólo cuando Fantasy lo investigó, rastreó la fuente de los fondos utilizados para configurar el drenador hasta la cartera de BlockDev, lo que sugiere que se trataba de la misma persona.
«Revisé la fuente de financiación original, así como la actividad general entre los dos monederos: comparten una actividad similar. Me enfrenté a él y no estaba muy contento al respecto», dijo Fantasy. «Estaba decepcionado conmigo como persona. Pensó que podía confiar en mí, lo que me pareció muy divertido».
En ese momento, el supuesto investigador, ahora conocido como Pink, eliminó sus cuentas de Discord y Twitter y cortó lazos con investigadores de seguridad como Fantasy y Plum.
Pink siguió utilizándose para exploits más grandes a lo largo de mayo y junio, incluso en los Discords de Orbiter Finance, LiFi, Flare y Evmos, así como en la cuenta de Twitter de Steve Aoki y otros.
Los atacantes emplearon de nuevo la táctica de hacerse pasar por periodistas para realizar entrevistas y a menudo pedían a los moderadores de Discord, o a quienquiera que fuera su objetivo, que marcara una determinada página web. Según ScamSniffer, este paso clave es la forma en que acaban infiltrándose en los servidores.
Plum y Fantasy señalaron que el vaciador Pink se las arregla para eludir las protecciones, como las extensiones de cartera que están diseñadas para evitar este tipo de robos. Afirmaron que Pink ha logrado eludir las extensiones de monedero Pocket Universe y Wallet Guard. También implementaron una forma de robar tokens y NFT al mismo tiempo en Blur, lo que describieron como un avance significativo.
En cuanto a lo que se puede hacer para protegerse contra este tipo de ataques, Plum dijo que las extensiones de monedero centradas en la seguridad siguen siendo buenas para proteger los monederos en general. Señalaron que es una buena práctica utilizar varios monederos y almacenar grandes cantidades de fondos en monederos fríos, y añadieron que también es bueno revocar las aprobaciones -cuando un monedero da permiso a la cadena de bloques para interactuar con un determinado token- si el token en cuestión no se está utilizando activamente.
«No te prepares para que un error -si te distraes con los gritos de tus hijos- te haga perder todo lo que tienes», dijo Plum.