Un artículo fraudulento ha circulado por Reddit haciéndose pasar por un homólogo de Blockworks con el pretexto de hackear Uniswap y proporcionando un enlace de phishing.
sobre el modus operandi de esta estafa y las lecciones que podemos aprender de ella.
Un sitio falso de blockchain que intenta engañar a los lectores con enlaces de phishing
Múltiples sabreddits fueron publicados en Reddit para crear la ilusión de un artículo de un colega de Blockworks informando sobre el supuesto hackeo de 37 millones de dólares de la bolsa descentralizada (DEX) Uniswap (UNI)
Figura 1 – Aviso fraudulento en sabreddit sobre el supuesto pirateo de Uniswap
Al revisar el artículo, descubrimos que el sitio es similar a blockchain en casi todo. El artículo en cuestión contiene detalles vagos de ataques falsos e incluye citas falsas de representantes reales del ecosistema.
Utiliza el nombre de dominio «blockworks.news» mientras que la URL real del medio es «blockworks.co».
Figura 2 – Artículo de phishing falso en el sitio web falso de Blockworks
Para que la estafa
sea aún más eficaz, todos los enlaces sobre los que se puede hacer clic en la página fraudulenta, fuera del artículo, apuntan a la dirección real de Blockchain, lo que permite a los usuarios saber que el sitio no ha cambiado. Además, si se escribe la palabra «blockworks.news» en la barra de búsqueda, aparece la página de inicio falsa y un enlace directo a este incidente de pirateo.
Intento de phishing
En realidad, el objetivo de esta estafa es redirigir a los usuarios a una página falsa de Etherscan y vincular su monedero a ella. De nuevo, la página tiene exactamente el mismo aspecto que el sitio Etherscan genuino, con menús y otros enlaces clicables que apuntan a secciones relevantes del sitio legítimo.
Sin embargo, esta vez la dirección genuina de Etherscan para revocar la autorización de contratos inteligentes es «etherscan.io/tokenapprovalchecker», lo que indica un completo error de URL:
Figure 3 – Fake Etherscan page leading to a web3 wallet connection
De hecho, los experimentos con un monedero de prueba completamente vacío mostraron que no ocurría nada. Mientras tanto, la empresa de seguridad blockchain Beosin dijo a su colega Cointelegraph que el botón estaba mal configurado porque «no se requieren transacciones de phishing al acceder a la cartera.»
Sin embargo, parece que el contrato inteligente sí se utilizó para vaciar una cartera con un saldo de al menos 0,1 ETH.
En este caso, la estafa se basa en el miedo, animando al lector a actuar con rapidez para evitar sospechas de robo de criptodivisas. En estos casos, también es importante comprobar las redes sociales del sujeto y la URL de la página
para evitar caer en una trampa emocional.
