Web3 es un espacio apasionante lleno de conceptos innovadores en torno a la descentralización y que permite a los usuarios recuperar el control de sus identidades y datos en línea. Es la fuerza impulsora detrás de nuevas tecnologías como las criptomonedas, los tokens no fungibles y el metaverso, y una vez completamente desarrollado, promete cambiar radicalmente la forma en que las personas interactúan y trabajan en línea.
Pero a pesar de todas las promesas de la Web3, nos aguardan muchos peligros. En 2022, los piratas informáticos y estafadores han logrado robar más de Valorado en 3.900 millones de dólares de criptoactivos, según Immunefi. Los malos actores de Web3 son numerosos y extremadamente creativos, y utilizan sofisticadas técnicas de fraude para tomar a las personas con la guardia baja y deshacerse de sus activos digitales. Algunos de los peligros más comunes que enfrentan los usuarios de Web3 incluyen vulnerabilidades de contratos inteligentes, ataques de phishing, copymints y ataques de envenenamiento. Para evitarlos, los usuarios de Web3 deben saber cómo funcionan estos métodos.
Ataques comunes a Web3
Una de las formas más fáciles de ser víctima de un hacker Web3 es terminar en un sitio web de “phishing” malicioso que parece un sitio web legítimo. Los delincuentes hacen copias de sitios web auténticos utilizando una URL ligeramente diferente, como Openseea.io en lugar de Opensea.io, y esperan sorprender a los usuarios. Utilizan una serie de métodos creativos para dirigir a los usuarios a estos sitios web falsos, como enviar un correo electrónico que parece oficial o utilizar una cuenta falsa de una celebridad en una red social para enviar mensajes. Tan pronto como alguien ingresa sus credenciales en el sitio falso, el atacante puede tomar el control de su cuenta en el sitio oficial y robar todos los activos que posee.
Otra amenaza son los contratos inteligentes maliciosos que incorporan una lógica peligrosa, como la capacidad de restringir una transacción, quemar tokens, delegar llamadas a otros contratos inteligentes o dar al creador del contrato acceso a la billetera del usuario. Los estafadores pueden crear sus propias dApps maliciosas con contratos inteligentes dudosos o utilizar una vulnerabilidad en un contrato inteligente legítimo para adaptar su código.
Los copymints se refieren a NFT falsos o plagiados que violan los derechos del autor. Por ejemplo, alguien puede intentar falsificar una colección NFT popular, como la del club Bored Ape Yacht, y venderla a precios de ganga. Sólo más tarde el comprador se dará cuenta de que no tiene valor.
Finalmente, los ataques de envenenamiento ocurren cuando un estafador crea una dirección de billetera cuyo primer y último carácter son los mismos que los de la billetera del usuario. La idea es que el usuario pueda creer falsamente que está enviando fondos a su propia dirección de billetera, cuando en realidad está enviando sus activos directamente al estafador.
Innovaciones en seguridad Web3
La buena noticia es que el espacio Web3 ha desarrollado una serie de herramientas innovadoras destinadas a contrarrestar este tipo de estafa criptográfica.
Uno de los mejores en el negocio es Blockfence, que ha creado una extensión de navegador que actúa como una capa de protección contra transacciones sospechosas. Blockfence combina análisis complejos con algoritmos de aprendizaje automático y datos sobre piratas informáticos y vulnerabilidades recopilados por la comunidad Web3 para proteger las transacciones de los usuarios. Puede prevenir muchos tipos de ataques, incluidos ataques de phishing y contratos inteligentes maliciosos.
Cuando un usuario instala Blockfence en su navegador, recibirá alertas automáticas cada vez que intente aprobar una transacción utilizando una billetera vinculada como MetaMask. Blockfence les notificará cada vez que la dirección a la que envían fondos aparezca como sospechosa, lo que le permitirá al usuario optar por no participar en caso de duda. El conocimiento de Blockfence sobre vulnerabilidades y direcciones sospechosas se ve reforzado por una sólida red de socios de seguridad. Además, ofrece un intérprete de transacciones impulsado por IA generativa, similar a ChatGPT, que ayuda a los usuarios a comprender explicando en inglés sencillo lo que sucederá con cada transacción.
Una oferta similar proviene de cheque de confianzacuyo objetivo es proteger las transacciones Web3 verificando direcciones de billeteras criptográficas, colecciones de tokens, contratos inteligentes y URL antes de que el usuario interactúe con ellos. Destacará problemas potenciales como aprobaciones de transacciones riesgosas, sitios web falsos, solicitudes de firmas peligrosas, etc.
Antes de que se apruebe cada transacción, TrustCheck proporciona al usuario una visualización de lo que sucederá, con metadatos simbólicos, como nombres y direcciones, presentados en datos legibles por humanos.
Inmune tiene como objetivo proteger Web3 de una manera diferente a través de su plataforma de recompensas por errores, que ofrece recompensas a los piratas informáticos benévolos que puedan encontrar vulnerabilidades en contratos inteligentes o dApps y advertir a la comunidad. Este tipo de auditoría es esencial para la seguridad de Web3 y, en particular, del ecosistema DeFi, que utiliza contratos inteligentes muy complejos para facilitar transacciones de intercambio múltiple. Immunefi afirma tener ahorró más de $25 mil millones valor de los activos digitales contra la piratería.
La prevención proactiva es lo mejor
Si bien se recomiendan las herramientas anteriores y ciertamente ayudarán a prevenir la mayoría de los ataques Web3, los usuarios deben seguir las mejores prácticas para minimizar las posibilidades de ser víctimas de estafadores.
El peor error que cualquiera puede cometer es compartir su clave privada o frase inicial. No hay ninguna razón para hacer esto y ninguna empresa de buena reputación lo solicitará jamás. La mejor manera de almacenar esta información es anotarla en algún lugar de una hoja de papel y mantenerla escondida en un lugar seguro. No se recomienda almacenarlo en una computadora o dispositivo móvil, ya que estos también pueden ser pirateados.
Además, los usuarios siempre deben almacenar sus fondos en una billetera sin custodia en lugar de una billetera con custodia. Aunque las billeteras de custodia son más sencillas de recuperar en caso de un bloqueo, también implican confiar en que otra persona almacene sus fondos por usted. Como los usuarios de FTX han descubierto con horror, esto realmente no es una buena idea, independientemente de la reputación de la empresa.
Además, los usuarios siempre deben permanecer muy concentrados cuando están a punto de aprobar una transacción o firmar un mensaje. Se debe tener cuidado de verificar la dirección del destinatario y el monto enviado. Nunca responda a los mensajes recibidos en las redes sociales y siempre ingrese manualmente las URL de los sitios web relacionados con las criptomonedas para evitar el robo de identidad.
La seguridad es tu problema
La naturaleza descentralizada de Web3 significa que no hay alternativas en caso de una estafa, por lo que la seguridad es únicamente su responsabilidad. Tenga cuidado, incluso los usuarios de criptomonedas más sofisticados han sido víctimas de ataques y estafas antes, así que tenga siempre mucho cuidado y aproveche las herramientas de seguridad de Web3 que pueden verificar la seguridad de sus transacciones de criptomonedas.
Enlace:
Fuente:
