Una nueva estafa de tokens de Ethereum en Telegram agota las billeteras criptográficas de los usuarios sin aprobaciones de transacciones
Summary:
Una nueva estafa en Telegram se dirige a los usuarios de criptomonedas que poseen tokens que cumplen con el estándar ERC-2612, extrayendo fondos sin la aprobación de la transacción. La estafa consiste en convencer a los usuarios de que firmen un mensaje engañoso, lo que permite a los atacantes acceder a los fondos. Cointelegraph recibió un informe de una víctima que perdió USD 600 en tokens de Open Exchange (OX). La estafa involucró una versión falsificada del sistema de autenticación de Telegram de Collab.Land y un sitio engañoso que imitaba el proceso de transferencia de tokens de firma de Collab.Land. La comunidad de criptomonedas ha sido alertada sobre el método de estafa.
Ha surgido una nueva estafa que explota Telegram, lo que permite al estafador agotar la billetera de criptomonedas de un objetivo sin la confirmación de la transacción, como lo indican las cuentas de usuario y los datos correspondientes de la cadena de bloques. La estafa se aprovecha de los tokens que se adhieren al modelo de token ERC-2612, que permite transferencias que no requieren Ether (ETH). Si bien no se necesita la aprobación de la transacción del usuario, parece que la estafa se basa en engañar a los usuarios para que respalden un mensaje. Dado el creciente número de tokens que adoptan el modelo ERC-2612, este tipo de ataques podrían volverse más comunes.
Cointelegraph recibió una cuenta de un individuo que perdió más de USD 600 en tokens de Open Exchange (OX). La víctima creía que estaba en el grupo oficial de Telegram del creador de tokens OPNX, pero fue víctima de una estafa de phishing. Mientras estaba en el grupo, se le indicó que hiciera clic en un botón que vincularía su billetera como una prueba de no bots. Esta acción abrió una ventana del navegador y conectó su billetera con la creencia de que no representaba una amenaza para sus activos. A pesar de esto, sus tokens OX se vaciaron en cuestión de minutos. La víctima insistió en que no había dado su consentimiento para ninguna transacción, aunque sus fondos fueron robados.
Cointelegraph investigó el grupo de Telegram y encontró una versión falsificada del sistema de autenticación de Telegram Collab.Land. Los mensajes oficiales del sistema del canal de Telegram @collablandbot. La imitación instalada en el grupo utilizado @colIablandbot que representa la malversación de reemplazar la segunda 'l' minúscula por una 'I' mayúscula, lo que hace que se parezcan debido a la fuente que Telegram utiliza para sus nombres de usuario.
Además, el comando auténtico "conectar billetera" en los mensajes originales de Collab.Land redirige a los usuarios a connect.collab.info sin guiones, mientras que la versión fraudulenta guía a los usuarios a connect-collab.info, reemplazando un punto con un guión.
El análisis de la información de la cadena de bloques muestra que el estafador vació los fondos invocando la operación "transferFrom" en el contrato del token OX, que normalmente solo puede ser realizada por un tercero si el titular primero llama a "aprobar" a través de una transacción separada con límites de gasto establecidos. No se encontró ningún indicio de tal aprobación por parte de la víctima en los datos de la cadena de bloques.
Poco más de una hora y media antes de la transferencia, el estafador utilizó la función "Permitir" en el contrato del token OX, designándose a sí mismo como el "gastador" y la cuenta de la víctima como el "propietario". Estableció una gran cantidad de tokens que podrían transferirse y estableció una "fecha límite" para el vencimiento del permiso.
El procedimiento de la función "Permitir" permitía al estafador exhumar los fondos sin persuadir al titular para que aprobara un token estándar, aunque significa que el propietario fue engañado para que firmara un mensaje. Ante esta evidencia, la víctima afirmó que, sin saberlo, reconoció un "diálogo de señas adicional" cuando se conectó inicialmente al sitio.
La función Permit es una característica nueva de algunos contratos de tokens, siguiendo el modelo ERC-2612 que facilita las transacciones de billetera desprovistas de cualquier ETH. El desarrollador de Web3 OpenZeppelin explica que la asignación de ERC20 puede modificarse a través del mensaje firmado por el titular de la cuenta en lugar de la función IERC20.approval, eliminando la necesidad de que la cuenta envíe una transacción o mantenga Ether.
Si bien es útil para crear billeteras fáciles de usar que solo contienen monedas estables, también puede ser manipulado por estafadores para engañar a los usuarios para que accedan inadvertidamente a sus activos. Por lo tanto, los usuarios de Web3 deben mantenerse atentos, dándose cuenta de que sus fondos podrían agotarse sin la aprobación de la transacción, si un estafador los engaña para que firmen un mensaje.
Después de que Cointelegraph se pusiera en contacto con el equipo de Collab.Land, confirmaron que el bot y el sitio web implicados en este fraude fraudulento no están afiliados al protocolo auténtico de Collab.Land. Al ser informados del engaño, los desarrolladores del proyecto informaron del engaño a Telegram.
Published At
2/23/2024 10:00:00 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.