Comerciantes de NFT, cuidado con los ataques de ingeniería social
Los titulares de tokens no fungibles ( NFT ) de primer nivel han sido durante mucho tiempo objeto de varios tipos de ataques debido al valor de sus posesiones, y ahora los estafadores parecen haber encontrado nuevas lagunas para aprovechar.
Hasta ahora, un vector popular de ataque para los estafadores han sido los enlaces maliciosos, donde los estafadores piratean las plataformas sociales de un proyecto y publican enlaces de phishing, como sucedió anteriormente con la colección de NFT basada en Solana, Monkey Kingdom.
Sin embargo, más recientemente, parece haber una tendencia en la que los estafadores intentan aprovechar las lagunas en el diseño de UX (experiencia de usuario) / UI (interfaz de usuario) de las plataformas NFT para robar valiosos objetos de colección de los usuarios potenciales.
Justo a principios de este año, los estafadores pudieron explotar un problema relacionado con el diseño de la interfaz de usuario del importante mercado de NFT OpenSea para comprar NFT a precios de cotización antiguos, que estaban muy por debajo del precio mínimo de la colección.
De manera similar, un titular de NFT de Bored Ape Yacht Club (BAYC) perdió recientemente tres de sus valiosos NFT en gran parte debido al diseño deficiente de UI/UX de una plataforma NFT.
El seudónimo 0xQuit recurrió a Twitter para revelar los detalles de cómo el usuario “s27”, que entró en un comercio de intercambio directo utilizando Swapkiwi , una plataforma de intercambio de NFT entre pares, fue víctima de una estafa.
Aparentemente, s27 había acordado intercambiar BAYC #1584 y dos derivados de Mutant Ape ( #13168 y #13169 ), con un valor acumulado de más de USD 560.000 dado el precio mínimo actual, con BAYC #4424, #5406 y #2007 de otro usuario, solo estos los NFT de BAYC eran simplemente imitaciones.
Swapkiwi muestra los NFT verificados con una marca de verificación, pero la marca de verificación aparece dentro de la imagen. Aprovechando esto, el estafador retocó archivos JPEG falsos para colocarles una marca de verificación, haciéndolos parecer BAYC NFT verificados.
“El estafador agregó estas marcas de verificación a los NFT de imitación exclusivamente para que parezcan legítimos en swapkiwi”, dijo 0xQuit, y agregó:
“Además, no hay una forma aparente de hacer clic para ver el activo o el contrato de activos, lo que hace que sea innecesariamente gravoso verificar los activos”.
El incidente tiene algunas lecciones para los comerciantes de NFT. En primer lugar, si “suena demasiado bueno para ser verdad, probablemente lo sea”, dijo 0xQuit, señalando que es muy poco probable que un usuario intercambie tres BAYC NFT por un BAYC y dos simios mutantes, que son significativamente más baratos que la colección original.
Además, los comerciantes de NFT deben verificar todo de forma independiente. En otras palabras, asume que “todo el mundo quiere atraparte”.
Si bien Swapkiwi no tiene una opción para permitir que los comerciantes vean instantáneamente el contrato de activos, los comerciantes pueden usar exploradores de blockchain como Etherscan para verificar los activos y asegurarse de que sean originales.
“Esto también se aplica a otros activos”, dijo 0xQuit. “He visto estafas similares con tokens, donde un estafador envía una imagen con las palabras “20 WETH” en lugar de 20 WETH”.
Mientras tanto, Swapkiwi ha dicho que están trabajando en mejoras y se comprometió a “hacer los cambios necesarios para que esto no vuelva a suceder en swapkiwi”.
—-
Leer más:
Ucrania subastará las donaciones recibidas de NFT
El gigante del café Starbucks quiere entrar en el negocio de las NFT
La inversión en criptoactivos no está regulada, puede no ser adecuada para inversores minoristas y perderse la totalidad del importe invertido.
Es importante leer y comprender los riesgos de está inversión que se explican detalladamente en el Anexo II de la siguiente circular.
