MetaMask advirtió a sus usuarios sobre una nueva estafa criptográfica llamada “envenenamiento de direcciones”, pero para algunos, la noticia llegó demasiado tarde.
MetaMask explicó en un artÃculo que una billetera de criptomonedas puede incluir una o más cuentas, cada una con su propia dirección generada criptográficamente lanzamientoSin embargo, estos números hexadecimales largos son intencionalmente difÃciles de recordar y requieren el uso frecuente de copiar y pegar. Esto es exactamente lo que intenta explotar el envenenamiento de direcciones.
Cómo se “envenenan” las direcciones
El envenenamiento de direcciones se basa más en la psicologÃa humana y la mecánica de las transacciones cifradas que en los piratas informáticos sofisticados que comprometen la infraestructura del protocolo. El siguiente escenario es un buen ejemplo.
En este caso, el usuario A está realizando transacciones regulares con el usuario B, y el atacante C se da cuenta del uso de un software que monitorea la transferencia de ciertos tokens, generalmente monedas estables. El atacante luego usarÃa un generador de direcciones de “vanidad” para crear una dirección C de pirata informático que coincida estrechamente con la dirección B del usuario.
El atacante C ejecutará una transacción de $0 entre la dirección del usuario A y la dirección del hacker C. Esto da como resultado un “envenenamiento” de direcciones porque la dirección C del pirata informático se almacena en caché en la dirección de usuario B para la dirección de usuario A. Dado que la dirección del pirata informático C comparte los mismos primeros y últimos 4 dÃgitos que la dirección del usuario B, el atacante C espera que el usuario A use su dirección sin darse cuenta cuando intente realizar transacciones con el usuario B.
Esta estafa se puede evitar fácilmente verificando minuciosamente las direcciones antes de enviar transacciones, sin importar cuán tediosas sean.
Error de MetaMask
Algunos usuarios se sintieron decepcionados por el anuncio retrasado. “MetaMask finalmente registró un ataque de envenenamiento de direcciones después de más de 2 meses”, tuiteó Tuzun Han. Su publicación proporciona un enlace a un artÃculo que explica en detalle la estafa que comenzó a principios de diciembre.
Tuzun advierte además a los usuarios que los generadores de direcciones personalizadas pueden generar direcciones casi idénticas en cuestión de segundos. Los usuarios de Twitter también exigieron que el constructor de infraestructuras advirtiera adecuadamente a los usuarios sobre tales ataques en la interfaz de usuario.
El último revés de MetaMask se produce después de que enfrentó una reacción negativa del público por actualizar su polÃtica de retención de datos. La compañÃa actualizó su polÃtica de privacidad a fines del año pasado, lo que generó informes de que recopilarÃa las billeteras y las direcciones IP de los usuarios.
Esto provocó rápidamente una respuesta entusiasta de la comunidad criptográfica, lo que llevó al desarrollador ConsenSys a publicar una publicación el 6 de diciembre en un intento de apaciguar a sus usuarios.
Descargo de responsabilidad
laguiadelinge.com se ha comunicado con las empresas o personas involucradas en el incidente para obtener una declaración oficial sobre los desarrollos recientes, pero aún no ha recibido respuesta.
