top of page
  • Foto del escritorTeam Inntesec

🆘 Ataque de Ice Phishing en Blockchain

Las tecnologías que nos conectan avanzan continuamente y, si bien esto brinda enormes y nuevas capacidades a los usuarios, también abre nuevas superficies de ataque para los Malos Actores. La ingeniería social representa una clase de amenazas que se ha extendido a prácticamente todas las tecnologías que permiten la conexión humana.




Investigación de Microsoft sobre un Ataque de Ice Phishing


Una reciente investigación de Microsoft demuestra un ataque de phishing conectado a blockchain reafirma la durabilidad de estas amenazas, así como la necesidad de que los fundamentos de seguridad se integren en futuros sistemas y marcos relacionados.


El Phishing de Credenciales persigue a las empresas y usuarios día tras día en el mundo web2, que es la versión de Internet con la que la mayoría de nosotros estamos familiarizados y usamos hoy en día. Es un negocio rentable para los Malos Actores (ciberdelincuentes), incluso si los márgenes son reducidos y existe un riesgo significativo asociado con la monetización de las credenciales de una empresa (por ejemplo, a través de ataques de ransomware operados por humanos ). Ahora, imagine si un atacante puede, por sí solo, tomar una gran parte de la capitalización de mercado de criptomonedas de casi 2,2 billones de dólares estadounidenses y hacerlo con un anonimato casi total. Esto cambia la dinámica del juego y es exactamente lo que sucede en el mundo web3 varias veces al mes.


Funcionamiento de la Tecnología W3 y el Ataque Badger DAO

Web3 es el mundo descentralizado que se construye sobre la seguridad criptográfica que sienta las bases del blockchain (en contraste, web2 es el mundo más centralizado). En web3, los fondos que tiene en su billetera sin custodia están protegidos por la clave privada que solo usted conoce. Los contratos inteligentes con los que interactúa son inmutables, a menudo de código abierto y auditados. ¿Cómo ocurren los ataques de phishing con una base tan segura? Esto es lo que exploraremos en esta investigación.


Compartiremos algunos antecedentes necesarios y luego nos sumergiremos en el ataque Badger DAO , un ataque de phishing que ocurrió en noviembre-diciembre de 2021, durante el cual el atacante pudo robar aproximadamente 121 millones de dólares estadounidenses a los usuarios. El ataque Badger DAO destaca la necesidad de incorporar seguridad en web3 mientras se encuentra en sus primeras etapas de evolución y adopción. A un alto nivel, recomendamos que los desarrolladores de software aumenten la usabilidad de seguridad de web3. Mientras tanto, los usuarios finales deben verificar explícitamente la información a través de recursos adicionales, como la revisión de la documentación de los proyectos y los sitios web informativos/de reputación externa.


Cadena de Bloques


La cadena de bloques es un libro mayor distribuido asegurado por algoritmos criptográficos. Se puede considerar como una base de datos que muestra las transferencias de criptomonedas de una cuenta a otra. Las cadenas de bloques más grandes por capitalización de mercado en la actualidad son Bitcoin y Ethereum. Las transacciones que envía a una cadena de bloques pueden modificar el libro mayor, por ejemplo, al transferir monedas de criptomonedas de su cuenta a otra cuenta.


El blockchain es público, lo que significa que todas las transacciones son visibles públicamente. Las interfaces web de blockchain (p. ej., https://etherscan.io/ para los blockchain de Ethereum) existen para explorar transacciones, cuentas y contratos inteligentes.



Ataques de Phishing


Existen múltiples tipos de ataques de phishing en el mundo web3. La tecnología aún es incipiente y pueden surgir nuevos tipos de ataques. Algunos ataques se parecen a los ataques tradicionales de phishing de credenciales observados en web2, pero algunos son exclusivos de web3. Un aspecto que permite al blockchain público e inmutable es la transparencia total, por lo que se puede observar y estudiar un ataque después de que ocurra. También permite la evaluación del impacto financiero de los ataques, lo cual es un desafío en los ataques de phishing web2 tradicionales.


Recuerde que con las claves criptográficas (generalmente almacenadas en una billetera), usted tiene la clave de sus monedas de criptomoneda. Divulgue esa clave a una parte no autorizada y sus fondos pueden moverse sin su consentimiento. Robar estas claves es similar a robar las credenciales de las cuentas web2. Las credenciales de Web2 generalmente se roban al dirigir a los usuarios a un sitio web ilegítimo (por ejemplo, un sitio que se hace pasar por su banco) a través de un conjunto de correos electrónicos de phishing.


Si bien los atacantes pueden utilizar una táctica similar en web3 para obtener su clave privada, dada la adopción actual, la probabilidad de que un correo electrónico llegue a la bandeja de entrada de un usuario de criptomonedas es relativamente baja. En cambio, se pueden emplear diferentes tácticas para llegar y engañar a los usuarios de criptomonedas para que entreguen su clave privada:


⚠️ Supervisión de las redes sociales para los usuarios que se comunican con el soporte del software de billetera y saltan con mensajes directos que suplantan el soporte para robar la clave privada de uno directamente 2.


⚠️ Distribuir nuevos tokens de forma gratuita a un conjunto de cuentas (es decir, tokens "Airdrop") y luego fallar en las transacciones de esos tokens con un mensaje de error para redirigir a un sitio web de phishing 6 o un sitio web que instala complementos de minería de monedas que roban sus credenciales de tu dispositivo local 3.


⚠️ Typosquatting y suplantación de front-end legítimos de contratos inteligentes 4.


⚠️ Hacerse pasar por software de billetera y robar claves privadas directamente.


La técnica de ataque de Ice Phishing que discutimos en esta publicación no implica el robo de claves privadas. Más bien, implica engañar a un usuario para que firme una transacción que delega la aprobación de los tokens del usuario al atacante. Este es un tipo común de transacción que permite interacciones con contratos inteligentes DeFi, ya que se utilizan para interactuar con los tokens del usuario (por ejemplo, intercambios) como se muestra en la Figura 1. Las Figuras 2 y 3 muestran cómo puede ser la aprobación.


En este ejemplo, mostramos la aprobación inicial (paso 1 en la Figura 1), la interfaz y las solicitudes de firma de transacción que se necesitan para que Uniswap DEX intercambie tokens USDC por tokens LINK. Tenga en cuenta que la solicitud legítima es 0x68b3465833fb72A70ecDF485E0e4C7bD8665Fc45 (el Uniswap V3: Router 2). Una vez que se ha otorgado la aprobación, permite que el contrato inteligente Uni