Inicialmente reportado como un «afortunado» destinatario de airdrop Arbitrum, una dirección cripto parece haber estafado a más de 600 billeteras criptográficas diferentes por más de 930.000 tokens ARB.
La empresa de inteligencia Blockchain Arkham confirmó a TCN que ellos también han identificado que la dirección «pertenece a un hacker que está barriendo los fondos de los usuarios de Arbitrum».
Una mirada más cercana a las transacciones de la dirección específica revela que recibió 933.365 tokens ARB de una dirección Arbitrum diferente el 24 de marzo, un día después de la muy esperada entrega aérea de la red de capa 2. ARB es el token de gobierno nativo de Arbitrum. ARB es el token de gobernanza nativo detrás de la solución de escalado de capa 2 para Ethereum llamada Arbitrum.
Transferencia de 933.365 tokens ARB en la cadena. Fuente: Arbiscan.
La fuente de esos tokens es otro contrato cuyo creador está etiquetado como «Fake_Phishing18» en el explorador de blockchain de Arbitrum.
El investigador independiente de la cadena 0xKnight también confirmó que encontró informes de víctimas del pirateo. Los usuarios se quejaron de que sus tokens ARB habían sido «auto-reclamados» a las carteras de los hackers.
El desarrollador de contratos inteligentes de Ethereum, Brainsy, también señaló el contrato malicioso creado por «Fake_Phishing18» el 24 de marzo. Dijeron que interactuar con el contrato crea una solicitud de transacción adicional que parece provenir de la cartera del remitente, pero en realidad es un ataque de phishing.
Cuidado con este contrato falso de Arbitrum que hay por ahí.
Cuando hago un envío del contrato falso también hace una «transacción» que aparece como su de mi cartera. Supongo que para conseguir que interactuar con el contrato. Manténgase a salvo por ahí. pic.twitter.com/ygGOddlTGU
– Brainsy (@BrainsyEth) March 24, 2023
MetaMask ha advertido contra este tipo de ataque y lo ha denominado «envenenamiento de direcciones».
Se trata de un intento en el que los atacantes envenenan la lista de direcciones de los monederos de los usuarios enviando transacciones arbitrarias desde direcciones que se parecen mucho a aquellas con las que el usuario ya ha interactuado.
En este caso, el atacante parece haber utilizado tanto un ataque de phishing a través de un contrato inteligente malicioso como el envenenamiento de direcciones, con Brainsy indicando que hace que la transacción parezca «como si fuera de la cartera [de los usuarios]».
La etiqueta «Fake_Phishing18» también está asociada a otra dirección llamada «Fake_Phishing47» que desplegó un contrato de token ARB falso el 21 de marzo.
La imagen de abajo muestra que la cuenta etiquetada «Fake_Phishing18» creó el contrato para los tokens ARB falsos y luego transfirió la propiedad a «Fake_Phishing47».
Detalles del contrato de los tokens ARB falsos. Fuente: Arbiscan
La misma entidad puede haber creado un sitio falso de Aribtrum reclamando que si los usuarios interactuaban con el sitio web, éste daría al hacker el control sobre las carteras de los usuarios.
Por ejemplo, había al menos una página web idéntica al sitio web de reclamaciones de la Fundación Arbitrum circulando en algunos grupos de medios sociales el día del lanzamiento aéreo.
El sitio web falso reclamaba tokens ARB en nombre del usuario y los transfería a sus carteras. La única diferencia sutil entre ellos es que el sitio web original tiene una cuenta atrás para cuando el proceso de reclamación va a terminar.
