Check Point Research, la división de Inteligencia de Amenazas de la multinacional de la ciberseguridad, quiere alertar a través de su sistema de Inteligencia de Amenazas Blockchain sobre la manipulación de la liquidez de los pools que ha derivado en una subida del 22.000% del precio de los tokens y en el robo de 80.000$ a inversores desprotegidos.

En el mundo de los criptoactivos se cambia con frecuencia de un tipo de moneda virtual a otro. Sin embargo, sería complicado utilizar intercambiador para cada transacción y para resolver ese problema, existen los pools que actúan como un depósito digital en el que coexisten dos criptomonedas diferentes y cualquier persona puede acceder e intercambiar lo que necesite.

El valor de las criptomonedas cambia siguiendo las leyes de la oferta y la demanda. De este modo, en un pool en el que haya dos tipos de moneda, aquella de la que haya más cantidad tendrá menos valor que la que esté en menor proporción.

Los ciberdelincuentes eliminan tokens almacenados en los pools para aumentar su valor. ¿Cómo se realiza la operación?

• 1. Creación del token. Los ciberdelincuentes lanzan un nuevo token y lo emparejan con un tipo de criptomoneda que sea conocido en un intercambio descentralizado, creando de esta forma un pool de liquidez.
• 2. Promoción del token. Se realiza una campaña de marketing agresiva empleando a menudo redes sociales y colaborando con influencers, atrayendo así a posibles inversores.
• 3. Participación de los inversores. Si el interés de los inversores crece, comenzarán a comprar el nuevo token.
• 4. Manipulación del pool. Después de que se hayan realizado numerosas inversiones, los ciberdelincuentes eliminan tokens, reduciendo así la cantidad y aumentando el valor de la moneda, en este caso en un 22.000%.
• 5. Ganancia del estafador. El atacante vende un número significativo por un precio inflado, en este caso consigue 80.000$.

¿Cómo se realizó esta estafa?

El ciberdelincuente había creado dos carteras. La primera cartera la utilizó para crear el nuevo token y el pool de liquidez. En la segunda, creó un contrato malicioso y a través de ella realizaba la quema de los tokens para reducir su cantidad e incrementar su valor. De esta manera fue cómo consiguió inflar el precio, vender y, por consiguiente, robar 80.000$.

Este esquema de manipulación tan frecuente subraya la susceptibilidad de los pools de liquidación para realizar actividades fraudulentas. En este caso, la vigilancia de este espacio de finanzas descentralizado es fundamental. Los investigadores de Check Point Research están monitoreando activamente dominios asociados con la dirección de la cartera del estafador identificado. El sistema de Inteligencia de Amenazas
Blockchain de Check Point cuenta con información actualizada sobre amenazas emergentes.

“Es imprescindible realizar un esfuerzo colaborativo entre los inversores y los profesionales de la ciberseguridad para navegar de manera segura en el espacio criptográfico y saber cómo protegerse de las posibles estafas”, explica Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

“El mundo de las criptomonedas es sensible a las ciberamenazas, por lo que los inversores deben informarse sobre este tipo de estafas y estar prevenidos”, insiste.

Los ataques de phishing se expanden en los criptoactivos

Por otra parte, Check Point Research detecta un aumento de los ataques de phishing en el área de las criptomonedas. Estos ataques, que cada vez son más sofisticados, no se limitan a una única red blockchain, sino que están atacando diversas plataformas como Ethereum, Binance Smart Chain, Polygon o Avalanche.

Entre los grupos de ciberdelincuentes que realizan este tipo de ataques, Angel Drainer está entre los más destacados y sigue prosperando pese a que muchos otros grupos han sido desmantelados.

Una de las últimas tácticas que han desarrollado es el robo a través de campañas falsas de airdrop: bonificaciones gratuitas que ofrecen algunos proyectos de criptomonedas a modo de muestra o a cambio de la realización de una serie de tareas para su beneficio. No obstante, los atacantes usan este método que deriva a los
usuarios a web maliciosas a través de las cuales consiguen acceder a sus wallets.

Así funciona:

• 1. Campañas engañosas: el proceso comienza con la creación de campañas falsas de airdrop. Se suelen promocionar por redes sociales o por correo electrónico y ofrecen tokens gratuitos u otros incentivos para atraer a los usuarios. Estas campañas, a priori, parecen legítimas y son muy
  convincentes.
• 2. Imitación de sitios web legítimos: los usuarios que responden a estas campañas son dirigidos a sitios web fraudulentos. Estos sitios web se elaboran de tal manera que parecen webs legítimas, por lo que se hace muy difícil distinguirlos de los reales.
• 3. Solicitud de conexión de billeteras: los usuarios tienen que conectar entonces sus wallets para continuar con el proceso. Este paso parece inofensivo pues, a menudo, solo requiere de la verificación de la identidad del usuario para obtener los tokens ofrecidos.
• 4. Interacción con contratos inteligentes maliciosos: a continuación, el proceso continúa cuando el usuario tiene que aceptar un contrato inteligente para conseguir los beneficios anunciados en el airdrop. Este contrato contiene funciones ocultas que alteran las configuraciones de seguridad del monedero digital o incluso pueden comenzar transacciones no autorizadas de manera automática.
• 5. Función ‘Permit’ en Token ERC-20: los atacantes también emplean de manera indebida la función ‘Permit’ en los Tokens ERC-20. A través de esta fórmula, consiguen que los usuarios firmen un permiso que les da la posibilidad de manejar sus tokens. Este método es muy peligroso ya que no requiere de una transacción en cadena para cada aprobación, por lo que la actividad se vuelve más difícil de detectar.
• 6. Transferencia sigilosa de archivos: una vez han conseguido el acceso, comienzan a transferir activos fuera del wallet del usuario. Para ello, inician múltiples transferencias y de este modo se dificulta el rastreo de los activos robados. En muchos casos, sobre todo cuando emplean la función ‘Permit’, no
  dejan un rastro directo en la blockchain, ya que la aprobación y la transacción se realizan fuera de la misma. Detectar este tipo de actividades fraudulentas se convierte en una tarea muy compleja.

“Los usuarios deben conocer estás tácticas y ser conscientes de lo importante que es verificar bien los detalles de los contratos inteligentes y ser escépticos ante este tipo de ofertas”, explica Eusebio Nieva. “Toda la comunidad de criptomonedas debe mantenerse alerta ante estos casos de phishing y tratar de construir un entorno seguro para los activos digitales”, resalta.

El sistema Threat Intel Blockchain de Check Point continúa acumulando información valiosa sobre todas estas amenazas emergentes y la pone a disposición de todo el mundo para establecer sistemas de seguridad sólidos. Este proyecto surge con la iniciativa de empoderar a los inversores con el conocimiento necesario para navegar de manera segura por el espacio de las criptomonedas y protegerse ante los posibles fraudes.