Informe 2025 sobre la criptodelincuencia: Vea las tendencias clave que dieron forma al mercado ilícito de criptomonedas durante el año pasado. Leer el informe

SOLICITAR DEMO
Buscar en
Buscar en
Investigaciones TRM
24 de marzo de 2022

Anatomía de una estafa de phishing NFT

TRM InsightsInvestigaciones TRM
Anatomía de una estafa de phishing NFT

A medida que aumenta la popularidad de los NFT, TRM ha rastreado la aparición de una serie de estafas relacionadas: tirones de alfombras, sitios de acuñación de NFT falsos, suplantación de la identidad de clientes, estafas de pujas, ofertas falsas y NFT falsificados.

En este artículo se detalla un tipo de estafa especialmente insidiosa que va en aumento: el contrato de cebo y cambio. Esta forma de phishing incita a los usuarios a firmar un contrato, normalmente bajo el pretexto de una transferencia legítima de propiedad, que luego otorga el control de toda la cartera del usuario al atacante.

Los investigadores de TRM han desmontado una reciente estafa de phishing y están trabajando con las fuerzas de seguridad para identificar a los autores. En el transcurso de nuestra investigación, identificamos varias características distintivas que deberían servir como señales de alarma, tanto para los usuarios minoristas que intentan operar con NFT de forma segura como para las instituciones y plataformas de criptomonedas que buscan detectar e investigar transferencias sospechosas.

En pocas palabras, esto es lo que ocurrió (haga clic en las imágenes para ampliarlas):

Imagen: Gráfico de TRM que visualiza los flujos de atacantes

Veamos cómo se desarrolló esta estafa de phishing de NFT, paso a paso:

1. El atacante crea su monedero. Ellos siembran, o inicializan, el monedero de ataque con un depósito, a menudo a través de un mezclador, como Tornado.cash. A menudo, veremos un depósito inicial en el monedero de ataque realizado por el propio atacante. A veces esto es para probar el monedero, probar el contrato, o, dependiendo del activo, para inicializar el monedero. Por ejemplo, un monedero TRON requiere un saldo de TRX antes de funcionar. Se puede enviar Tether a una dirección de monedero sin él, pero no aparecerá en el saldo y no se podrá gastar hasta que el propietario ponga algo de TRX en el monedero primero.

Imagen: Gráfico TRM visualizando la primera transacción del atacante

2. El atacante crea un contrato. El contrato de cebo y cambio incluye funciones de código como "atomicMatch_" y "setApprovalForAll" que pueden permitir a un atacante transferir todos los tokens de las víctimas desde su monedero.

3. El atacante despliega un contrato. Para asegurarse de que funciona, prueba su propio contrato llamándolo, en este caso firmando una transacción desde el monedero del ataque. Este contrato puede adoptar diferentes formas. En los robos más sencillos, el contrato pide a las víctimas que aprueben la venta privada (transferencia) de un NFT al monedero del atacante; precio: 0 ETH.

Imagen (izquierda): ejemplo de un contrato que aprueba el acceso a los tokens poco antes de su transferencia; Imagen (derecha): Los avisos de MetaMask aparecerán cuando una dApp te pida que conectes tu monedero o firmes un contrato.

4. El atacante suplanta a la víctima. El phishing real puede adoptar diferentes formas. Correos electrónicos, mensajes de texto en aplicaciones de mensajería, ventanas emergentes en Discord, Telegram y otros foros, anuncios en el monedero a través de MetaMask, sitios falsos con conexiones al monedero, suplantación de personal de soporte en mercados NFT. Al final, siempre se pide a la víctima que proporcione claves privadas o firme contratos de aprobación. Estos ataques tienen éxito porque los compradores y vendedores se ven presionados a actuar con rapidez para cobrar las valiosas NFT. En este caso, el atacante incitó a la víctima a iniciar un comercio entre pares firmando... lo has adivinado: un contrato de cebo.

Imagen: Gráfico TRM de cuentas de víctimas y atacantes

5. El atacante roba el NFT. La víctima puede perder más. Algunos contratos de phishing autorizan al atacante a transferir no sólo el NFT, sino todos los activos de la víctima. Esto parece obvio en la blockchain. El atacante transfiere el NFT, pero no paga a la víctima.

6. El atacante cambia el NFT en un mercado legítimo. Los activos fungibles (como ETH) pueden blanquearse y canjearse por fiat; los NFT no. Así que, en la mayoría de los casos, el atacante tiene que convertir la propiedad robada en algo que pueda utilizar.

Imagen: Gráfico TRM de la venta de NFT robados en el mercado abierto

7. El atacante recibe el pago en ETH (en este ejemplo). Un comprador en el mercado adquiere la NFT a cambio de ETH - sin saber que la NFT fue transferida a cambio de nada desde la cartera de la víctima poco antes de ser vendida.

8. El atacante blanquea sus ganancias ilícitas. Tras recibir el pago en ETH, el atacante transfiere los ingresos a monederos utilizados para blanquear dinero. Estos monederos suelen tener varios depósitos de ETH procedentes de mercados NFT y una o dos grandes retiradas de fondos consolidados.

9. El atacante se retira. El cobro sigue las rutas habituales, a menudo una mezcla de mezcladores, intercambios de alto riesgo, plataformas p2p, saltos de transacciones y cadenas, y conversión a stablecoins.

Imagen: salto de transacciones con la esperanza de eludir el control de las instituciones
Imagen: blanqueo de capitales a través de un servicio mixto

¿Qué puede hacer para evitar ser víctima de phishing?

Los contratos son complicados. El comportamiento humano no lo es. Muchos usuarios no analizan los detalles de un contrato antes de firmar una transacción, sobre todo en un entorno de subasta o mercado donde la rapidez frente a la lentitud puede significar la diferencia entre ganar una puja, o perder una NFT potencialmente valiosa.

Independientemente de cómo empiece la estafa de phishing, ya sea un DM, un correo electrónico, una ventana emergente o un anuncio, termina con la firma por parte de la víctima de un contrato por el que se concede al atacante acceso a su monedero.

Mientras corres para coleccionar simios, punks, bloques, garabatos, peces, gatos y tierra, aquí tienes algunas sugerencias para protegerte a ti y a tus activos virtuales:

  • Busque señales de alarma, como llamadas contractuales desconocidas o inesperadas. Nunca firme una transacción en la que no confíe al 100%. La simple firma de una transacción puede dar acceso a un ladrón a todas tus NFT y criptomonedas.
  • Nunca haga clic en un enlace, botón o archivo adjunto cuando un contrato parezca "fallar" o "tener problemas". Nunca haga clic en enlaces de correos electrónicos a menos que los verifique a través de un canal lateral o encuentre la misma información mediante una búsqueda paralela en Internet.
  • Utilice un monedero distinto sólo para sus NFT; o cree un monedero "quemador" para probar interacciones con contratos de los que no esté seguro.
  • Consulte el historial de un NFT antes de comprar; podría estar adquiriendo bienes robados.
  • Cuando compre, investigue a la contraparte. Cuando investigues sus transacciones, puede que veas que han repetido el mismo patrón de adquirir una NFT "gratis" y ponerla a la venta en el mercado abierto.
  • Compruebe el precio: si es muy inferior a los precios de los mercados legítimos, probablemente se trate de una estafa.
  • Compruebe la dirección y verifique dónde se acuñó el NFT.
  • Introduzca la dirección del vendedor en una búsqueda de Twitter o blog y vea si prende.
  • Comprueba tus aprobaciones actuales de tokens en Etherscan aquí. Revoca las que ya no necesites.
  • Comprueba qué sitios están conectados a tu monedero MetaMask haciendo clic en el botón de los 3 puntos. Borra los que ya no utilices (ver imágenes más abajo).
  • Tenga cuidado con las ofertas falsas, los regalos, los envíos aéreos, el soporte técnico y los sitios de acuñación de monedas.
  • Apaga tus DMs de Discord. El ping phishing está de moda.
  • Y, como siempre, nunca des tus claves privadas o frases semilla a nadie, nunca, por ninguna razón.
Imagen: Comprobación de sitios conectados en MetaMask

¿Cómo puede la criptoeconomía combatir estos exploits a mayor escala?

El equipo de Investigaciones Globales de TRM rastrea e investiga activamente amenazas de criptocrimen, actores de amenazas y eventos como el exploit detallado anteriormente. Los monederos de los atacantes y otros monederos vinculados a estafas se atribuyen en las herramientas de TRM, lo que significa que los usuarios de las herramientas forenses y de supervisión de transacciones de TRM recibirán automáticamente una notificación de cualquier exposición a posibles estafadores.

Esto permite a las empresas usuarias de herramientas de TRM -entre las que se incluyen bolsas de criptomonedas, mercados de NFT, proveedores de custodia e instituciones financieras con exposición a la negociación de criptomonedas y NFT, entre otras- identificar direcciones y activos vinculados al fraude de NFT cuando entran en contacto con sus plataformas. Con estas mismas herramientas, los reguladores y los investigadores de las fuerzas de seguridad pueden identificar más eficazmente los monederos de los atacantes y las cuentas de las víctimas, rastrear los NFT robados y localizar el producto de las ventas de NFT robados.

En publicaciones anteriores, TRM Insights ha analizado los tokens no fungibles (NFT) desde diferentes ángulos. ¿Está interesado en el panorama normativo, los tirones de alfombra o las consideraciones de seguridad para los NFT? Consulte los artículos enlazados. ¿Quiere saber más sobre los riesgos y oportunidades que presentan los NFT? Haga clic en el episodio de TRM Talks. Por último, obtenga más información sobre la evaluación del riesgo de las NFT con TRM Labs.

Sobre el autor:

Chris Hoffmeister es investigador de Blockchain en TRM Labsdonde trabaja con instituciones, reguladores y fuerzas de seguridad para detectar, investigar y prevenir estafas, fraudes, blanqueo de dinero y otros delitos financieros relacionados con la criptomoneda. Antes de unirse a TRM, Chris trabajó como analista criminal en Homeland Security Investigations, donde desarrolló y supervisó el programa de inteligencia de criptomoneda de la agencia y apoyó investigaciones criminales multijurisdiccionales y transfronterizas. Posee varias certificaciones en criptomoneda y delitos financieros y obtuvo un máster en Estudios de Seguridad por la Universidad de Georgetown.

Acerca de TRM Labs

TRM ofrece Inteligencia en Blockchain para ayudar a las instituciones financieras, las empresas de criptomoneda y los organismos públicos a detectar, investigar y gestionar el fraude y los delitos financieros relacionados con las criptomonedas. La plataforma de gestión de riesgos de TRM incluye soluciones para la supervisión de transacciones y la detección de carteras, la puntuación de riesgos de entidades -incluida la diligencia debida de VASP- y el rastreo del origen y el destino de los fondos. Estas herramientas permiten a una cohorte cada vez mayor de organizaciones de todo el mundo adoptar con seguridad transacciones, productos y asociaciones relacionados con la criptomoneda.

TRM tiene su sede en San Francisco, California, y está contratando personal en ingeniería, productos, ventas y ciencia de datos. Para obtener más información, visite www.trmlabs.com.

Para informar de una pista a Global Investigations, envíenos un correo electrónico a investigations@trmlabs.com.

¿Quieres más contenidos como éste?

Esto es un texto dentro de un bloque div.
Suscríbase y manténgase al día de nuestras novedades
flecha derecha
20 de diciembre de 2021

TRM Talks: Riesgos y oportunidades de la NFT

flecha derecha
1 de marzo de 2022

Notas desde la Dark Web: Análisis de las conversaciones sobre Ucrania en foros clave

flecha derecha
24 de marzo de 2022

Lanzamiento de la herramienta gratuita de TRM para la detección de sanciones

Acceda a nuestra cobertura de TRON, Solana y otras 23 blockchains

Rellene el formulario para hablar con nuestro equipo sobre los servicios profesionales de investigación.

Servicios de interés
Al hacer clic en el botón siguiente, acepta la política de privacidad deTRM Labs .
Muchas gracias. Hemos recibido su envío.
¡Uy! Algo ha ido mal al enviar el formulario.
No se han encontrado artículos.
Ilustración de delito de criptomoneda sobre fondo azul oscuro con símbolos de blockchain en azul brillante y blanco (incluidos Bitcoin y TRON), gráficos financieros y un icono de hacker.
INFORME
Informe 2025 sobre la criptodelincuencia: Explore cómo evolucionó el panorama de la criptodelincuencia en el último año
DIG IN NOW →
Cables de fibra óptica azul brillante sobre fondo azul oscuro, con destellos de chispas blancas intercaladas.
INFORME
A medida que la tecnología de IA se vuelve más sofisticada, también lo hacen las formas en que los delincuentes la utilizan. Vea lo que hace TRM para combatir la delincuencia basada en IA.
LUCHA AI CON AI →
Ilustración de delito de criptomoneda sobre fondo azul oscuro con símbolos de blockchain en azul brillante y blanco (incluidos Bitcoin y TRON), gráficos financieros y un icono de hacker.
INFORME
El panorama de la criptodelincuencia experimentó cambios significativos en 2024, incluyendo descensos en los volúmenes ilícitos. Profundiza en los datos aquí.
VISTA PREVIA DEL INFORME SOBRE DELITOS CRIPTOGRÁFICOS →
Tablero de corcho con fotografías de Heather "Razzlekhan" Morgan e Ilya Lichtenstein, con sus nombres escritos a mano debajo de sus fotos y chinchetas en el tablero conectadas por una cuerda roja.
DOCUMENTAL
Transmite “El atraco más grande de la historia” y mira detrás de escena al equipo de TRM
ÉCHALE UN VISTAZO →
Un círculo bidimensional azul claro (que representa una moneda estable) flotando sobre líneas curvas de color azul oscuro y blanco (que representan ondas), con finas líneas punteadas de color azul y blanco en lo alto para representar el viento.
INFORME
Explore las tendencias macro y los desarrollos jurisdiccionales que dieron forma al panorama de políticas criptográficas globales en 2024
LEA EL INFORME →
Ilustración sobre un fondo azul oscuro que muestra un insecto y un signo de exclamación (que representa una actividad ilícita), un globo terráqueo con puntas de alfiler, una moneda y un gráfico de barras.
INFORME
Vea los países con las tasas más altas de adopción de criptomonedas y las tasas más altas de exposición a actividades ilícitas
LEA EL INFORME AHORA →
Un rectángulo azul con formas geométricas en el fondo y puntos conectados por líneas finas en primer plano, que representan conexiones en la cadena de bloques.
LIBRO BLANCO
Explore cuatro formas en que la TRM mejora el cumplimiento en la era moderna de aplicación de sanciones
Descargar el libro blanco →
Ilustración de un gráfico de pig butchering con varios logotipos de criptomonedas en cada sección, con una insignia de sheriff azul brillante en la parte superior, que simboliza el papel de las fuerzas del orden en la lucha contra el fraude.
CASO EJEMPLO
Vea cómo la ayudante del fiscal Erin West y el grupo de trabajo REACT están luchando contra la delincuencia organizada. pig butchering
VER EL VÍDEO →
Ilustración de un ojo, una calavera con huesos cruzados y un gráfico circular sobre fondo azul claro, que simboliza los peligros de las criptoestafas y el fraude financiero.
INFORME
Explora las tendencias clave que dieron forma a la criptoeconomía ilícita en 2023
OBTENER EL INFORME →
Primer plano del edificio del Capitolio de los Estados Unidos con nieve cayendo
BLOG
Sepa por qué la criptomoneda se ha convertido en un tema central de las elecciones estadounidenses de 2024
LEER EL POSTE
Ilustración de una muñeca rusa de juguete que contiene un ataque ransomware dentro de la más pequeña
INFORME
Profundice en el ecosistema de criptomonedas ilícitas de habla rusa
LEER EL INFORME COMPLETO
Contorno de cerdo con el escudo de las fuerzas del orden superpuesto
Caso práctico
Más información sobre la actuación del Grupo Operativo REACT pig butchering
Leer el Caso práctico
Ilustración de una muñeca rusa de juguete que contiene un ataque ransomware dentro de la más pequeña
INFORME
Explore las tendencias recientes de ransomware en el ecosistema criptográfico de habla rusa, incluido el papel de los grupos ransomware en la ciberdelincuencia en todo el mundo.
OBTENGA EL INFORME
Persona escribiendo en un teclado de ordenador portátil con superposición azul oscuro filtrado
ENTRADA EN EL BLOG
Conozca la oleada de ataques a ransomware del verano de 2024 y la proliferación de RaaS en todo el mundo.
LEER EL POSTE
INFORME
Conozca el papel de las criptomonedas en el mercado internacional de precursores de drogas sintéticas
OBTENGA EL INFORME