Un token falso de Metamask y otro llamado $YEAR en referencia al año nuevo han conseguido llevarse el dinero de muchos usuarios. Desgraciadamente, esta práctica se ha vuelto a poner de moda en 2021.
Una estafa de fichas MetaMask
Los estafadores han conseguido estafar a casi 400 personas por unos 1,8 millones de dólares.
Los autores se aprovecharon de los rumores sobre un futuro token de cartera oficial de MetaMask anunciando un token llamado MASK y ofreciendo a los interesados poner su dinero en un par wETH/MASK en la plataforma de intercambio Uniswap. La pareja sigue siendo visible aquí.
Algunos usuarios informaron de que pudieron revender sus tokens durante un tiempo, algo que probablemente fue posible gracias a los estafadores para no despertar sospechas entre los compradores.
Entonces la venta se hizo imposible una vez que el valor total en efectivo de la piscina alcanzó el millón de dólares, privando a los compradores de su propiedad.
Según un hilo de Twitter del usuario coby.eth, los estafadores consiguieron explotar un fallo en el código del frontend de la web de DexTools, mostrando el token MASK como verificado y seguro a los usuarios de la plataforma:
Capturas de la ventana emergente de verificación y captura del token verificado (Fuente: Twitter)
Según etherscan, una herramienta que rastrea las transacciones que tienen lugar en la blockchain de Ethereum (ETH), la(s) persona(s) que preparó(n) el fraude logró(n) transferir 475 ETH (equivalentes a 1.594.575 dólares en el momento de escribir este artículo) y también tenía(n) casi 10 millones de tokens $MASK.
Ambas transacciones se realizaron desde el fondo de liquidez alojado en la plataforma Uniswap y luego se transfirieron a un monedero digital.
El dinero se transfirió entonces a Tornado Cash, una plataforma que permite «mezclar» monedas para que las transacciones sean completamente anónimas. Esto significa que no se puede localizar a la persona que recibió los beneficios.
A día de hoy, Dextools aún no ha dado una respuesta a los agujeros de seguridad en su código que fueron el principal motor del éxito de la estafa.
La primera estafa de 2022
Desgraciadamente no se trata de un caso aislado, ya que el 31 de diciembre surgió un proyecto que se autodenomina «EtherWrapped» y que se hace pasar por un airdrop para los usuarios de la blockchain de Ethereum.
El anuncio inicial se hizo desde una cuenta de Twitter llamada @etherwrapped pero que ya ha sido eliminada.
Los usuarios fueron invitados a ir al sitio de la estafa y conectar su cartera MetaMask para recibir una recompensa de tokens llamados «AÑO» en proporción a sus inversiones en la blockchain.
Captura de las recompensas ofrecidas por el lanzamiento aéreo de fichas YEAR (Fuente: Twitter)
El contrato inteligente del token YEAR apareció por primera vez sin verificar con la máquina virtual de Ethereum (EVM), luego el creador del token hizo público su código para que todo el mundo pudiera comprobarlo en busca de código malicioso, lo cual es un procedimiento estándar.
Según el usuario de Twitter meows.eth, fue un código aparentemente inofensivo el que hizo posible el robo.
La persona que estaba detrás de la estafa habría utilizado esta línea de código para impedir que los propietarios del token lo vendieran, de modo que se produjera una curva ascendente sin reventa y basada únicamente en las compras.
Entonces, al cabo de 30 minutos, el delincuente habría retirado todo el dinero del fondo común, es decir, 30 ETH (equivalentes a 100.410 dólares en este mismo momento), con lo que el token YEAR bajaría a un valor de 0 dólares.
Cabe señalar que, a pesar de que los compradores vincularon su cartera MetaMask al sitio de la estafa, no se ha producido ningún robo directo de las carteras de los compradores. El ladrón «sólo» se habría beneficiado de los 30 ETH del fondo de liquidez, obtenidos gracias a los compradores del token fraudulento.
Una estafa «Meta» está circulando en Facebook
Algunas estafas se atreven con todo: por ejemplo, actualmente hay un anuncio de un token «Meta», en referencia al cambio de nombre de Facebook.
Sólo que el anuncio aparece… en el propio sitio de Facebook.
Esto puede parecer extraordinario y ese es el problema, es fácil caer en la trampa ya que puede ser difícil de creer que una estafa podría ser transmitida en la plataforma que está suplantando!
Ejemplos de anuncios fraudulentos (Fuente: Facebook)
En este caso puede utilizar la herramienta Scam Detector. En este caso, este sitio tiene una puntuación de 0,6/100 en términos de fiabilidad, que es el mínimo. Es un truco sencillo que puede ahorrarte muchos problemas.
El método de tirar de la alfombra
Las estafas descritas anteriormente utilizan el llamado método de tirar de la manta, un procedimiento que, por desgracia, es demasiado común en el mundo de las criptomonedas.
En pocas palabras, el estafador apostará por el efecto FOMO (Fear Of Missing Out).
Lanzará una ficha cuidando su imagen, sobre todo gastando dinero en publicidad o incluso convenciendo a la gente con notoriedad de que su proyecto es seguro y que funcionará siempre.
Algunos también se anuncian en redes sociales populares como Instagram, Facebook o Twitter, a menudo enviando mensajes privados a los usuarios prometiéndoles atractivos lanzamientos aéreos o regalos.
Así, una vez lanzado el proyecto, el valor del token se disparará, creando el famoso miedo a perder la oportunidad de tener los tokens a un precio reducido para revenderlos a un precio mayor.
Una vez que los estafadores han alcanzado la cantidad deseada, pueden marcharse con la caja registradora.
Rug pull example (Source: ByBit)
Hay que dar algunos pasos básicos antes de invertir en un nuevo proyecto:
Lo primero es comprobar el libro blanco del proyecto. Aunque no es una garantía de seguridad al 100%, te da una idea de la fiabilidad del proyecto, ver si es consistente y si su redacción parece seria. Entre un libro blanco de 5 páginas y uno de 50, es obvio que este último será probablemente más fiable.
A continuación, puedes mirar quién está detrás del proyecto: ¿ha participado en otros proyectos conocidos? ¿Tienen experiencia en el sector de la cadena de bloques o de la tecnología? ¿Está el proyecto apoyado por personalidades o empresas conocidas del sector?
Una comprobación más técnica es ver cómo se reparten los fondos de un proyecto. Por ejemplo, para la blockchain de Ethereum, puedes utilizar etherscan y comprobar si son pocas o muchas las personas que tienen los tokens: si son muy pocas las personas que tienen todos los tokens, ten cuidado.
Otro método de estafa habitual es el «Honey Pot», que funciona con un método algo más complejo pero que puede evitar tomando las mismas medidas de precaución.
Para engañar a la víctima, el estafador emitirá un contrato inteligente con un agujero de seguridad para hacerles creer que pueden explotarlo para ganar dinero.
Por ejemplo, la víctima puede creer que un contrato inteligente le permitirá ganar dinero de forma regular, pasando completamente desapercibido. Sólo que para recuperar el botín, la víctima tendrá que adelantar dinero.
Dinero que, por supuesto, no volverán a ver, ya que el falso fallo se codificó de forma totalmente voluntaria. Se trata de una versión del más popular «fraude 4-1-9» pero adaptado a la criptomoneda.
También puede utilizar la herramienta de detección de honeypots para Ethereum o para la cadena inteligente Binance.
Ten en cuenta que para el año 2021, fueron más de 7.700 millones de dólares los que se robaron a través de métodos inescrupulosos como estos en el universo de las criptomonedas, un 81% más que en el año 2020.
Volumen de criptomonedas obtenidas por estafadores (Fuente: Chainalysis)
Sólo podemos recomendarte que tengas mucho cuidado con los nuevos proyectos, especialmente si te prometen la luna. Ten siempre mucho cuidado
