En dos semanas, el infame ladrón conocido como Monkey Drainer robó USD 1,8 millones en NFTs y criptomonedas, utilizando una técnica muy común y sencilla. Esto es lo que necesitas saber para proteger tus objetos de colección y no caer en los trucos de los estafadores.
Monkey Draer y su método de estafa “phishing”
Monkey Drainer es un estafador que utiliza un contrato inteligente de phishing para robar NFTs y criptomonedas. Según el famoso investigador de Crypto Twitter @ZachXBT, es probable que una sola persona ejecute esquemas de robo para múltiples clientes (una especie de «estafa como servicio»), tomando una participación del 30% de las ganancias.
Phishing significa crear sitios web, correos electrónicos, aplicaciones y otros servicios falsos que se ven exactamente como los reales (a veces con la dirección que difiere solo en una letra) para engañar a los usuarios y que hagan clic en enlaces maliciosos, compartan sus datos confidenciales, etc.
El truco principal que usa (y muchos otros como él) es un airdrop falso de NFTs, que se ejecuta en un contrato malicioso que drena los activos de las billeteras.
El esquema funciona de la siguiente manera:
1) El estafador piratea el servidor Discord de un proyecto NFT o secuestra/falsifica una cuenta popular de Twitter.
2) El estafador luego comienza a promocionar un airdrop gratuito de NFTs, una rifa WL (white list) o un airdrop de una criptomoneda popular en ese Discord o Twitter.
3) El enlace conduce a un sitio de aspecto legítimo que está conectado a un contrato inteligente de drenaje en el backend.
4) Cuando el usuario hace clic en “Mint” o en un botón similar, se le solicita que autorice a MetaMask para conectarse al sitio y firmar un mensaje. Este es el mismo proceso que para un sitio Web3 legítimo.
5) El contrato utiliza una API para verificar qué NFT y criptomonedas se encuentran en la billetera. Si no hay nada de valor real, el usuario recibirá un error o un mensaje como «Lo sentimos, no es elegible para este airdrop».
6) Si el contrato encuentra NFTs valiosos o muchas criptomonedas, se solicita al usuario que firme una «transacción de acuñación». En realidad, es una transacción que transfiere NFTs desde la billetera.
7) Los NFT se envían a una secuencia de diferentes direcciones para ocultar el rastro y luego se venden en los marketplace.
8) Los ingresos se envían a un mezclador criptográfico y luego, presumiblemente, se cobran.
Los ataques del 25 de octubre y del 3 de noviembre: 1,8 millones de dólares perdidos
A fines de octubre, el estafador conocido como Monkey Drainer había estado operando durante varios meses, con más de 10.500 transacciones en las direcciones de contratos asociados con ellos. Sin embargo, su mayor ataque individual hasta el momento tuvo lugar del 24 al 25 de octubre. En 24 horas, el ladrón robó US$ 1 millón en activos.
Un usuario perdió USD 150.000 en NFTs, incluido un Bored Ape y un CloneX. Otro podría haber perdido mucho más, pero afortunadamente rechazó la mayoría de las transacciones maliciosas.
Después de que ZachXBT publicara su hilo de investigación, los bots de Twitter controlados por el escurridor le enviaron spam con mensajes como «El mejor drenador de monos».
Por cierto, en agosto, ZachXBT ayudó a llevar ante la justicia una red de phishing francesa de 5 personas que se habían infiltrado en el canal oficial de Discord de BAYC. Habían estado promocionando un servicio falso que supuestamente generaba una animación gratuita de cualquier Bored Ape: solo que en lugar de una animación, los usuarios encontrarían que les robaban sus NFTs.
El 4 de noviembre, ZachXBT informó que Monkey Drainer había robado otros Us$ 800k en activos, incluidos 20 Otherside NFT (emitidos por Yuga Labs, la compañía detrás de BAYC) y 7 Crypto Punks.
Entre los usuarios de Twitter que comentaron en los hilos de ZachXBT, muchos preguntaban cómo mantenerse a salvo de tales estafas o cómo los estafadores logran robar NFTs tan fácilmente. Hemos preparado una pequeña guía de supervivencia para ti: sigue leyendo.
Cómo mantener seguros tus NFTs
Monkey Drainer es solo uno de los muchos phishers de NFT que existen. En abril de 2022, Cujo AI identificó a un estafador que estaba vendiendo un kit de phishing que permitiría a cualquier persona con cierta experiencia técnica drenar los activos de los usuarios.
Por lo tanto, debes permanecer alerta y seguir estas reglas simples:
- No te conectes a dApps aleatorias.
- Nunca confíes en los «airdrops NFT» o los «minteos de NFT gratuitos» que afirman que todos los titulares de NFT o todos los usuarios de una blockchain específica son elegibles.
- Nunca confíes en NFTs o en los «airdrops» criptográficos que prometen distribuir miles de NFT o grandes cantidades de dinero (como US$1.000.000).
- Vuelve a verificar que el sitio o la cuenta de Twitter sean legítimos. Los phishers son excelentes para crear direcciones y nombres de usuario que se ven casi exactamente iguales: por ejemplo, «@Do0dles» en lugar de @Doodles, o «NFT-labs.io» en lugar de NFTlabs.io. Revisa cada uno.
- No confíes en los airdrops de NFTs anunciados en Discord, incluso si el mensaje lo publica un administrador. Las cuentas de los administradores también son pirateadas.
- Antes de confirmar una transacción (como acuñar un NFT), verifica de qué dirección proviene la transferencia y a qué dirección va. En los sitios fraudulentos, la transferencia sale de la billetera del usuario (la tuya) y va a la billetera del estafador, en lugar de viceversa.
- Si puedes, copia la dirección del contrato y pásala por Etherscan para ver si hay transacciones sospechosas. Además, busca el nombre del proyecto en Twitter: si se trata de una estafa, es posible que alguien ya lo haya denunciado.
Como proveedores del bridge NFT cross-chain más grande que existe, en XP.NETWORK sentimos mucho por los coleccionistas de NFT que pierden activos a manos de los phishers.
Pero recuerda: los ataques de phishing no son hacks. Nadie puede robar un NFT de tu billetera a menos que tú les permitas hacerlo, ya sea cayendo en una estafa de phishing o regalando tu frase inicial.
Practica una buena seguridad criptográfica y mantente alerta en todo momento, incluso si te consideras un usuario experimentado.
Este artículo ha sido escrito originalmente por XP.NETWORK, publicado en https://blog.xp.network y traducido por AlgoLatam.
Original Article: https://blog.xp.network/who-is-monkey-drainer-and-how-to-protect-your-nfts-from-scammers-de918aead95d
Aviso de responsabilidad:
Este artículo no contiene consejos financieros, ni recomendaciones de inversión de ningún tipo. La información brindada se ofrece sólo con fines educativos y didácticos en cuanto a tecnología Web3 y análisis sobre sus casos de uso.
Las inversiones con criptomonedas, NFTs, tokens u otros activos digitales conllevan riesgos y no se encuentran regulados, por lo que los lectores deben realizar su propia investigación antes de tomar cualquier tipo de decisión bajo su entera responsabilidad, así como adaptarse y observar las diferentes regulaciones legales según su país de residencia.