En esta publicación te comparto mi experiencia sobre una estafa de ‘phishing‘ e ‘ingeniería social‘, en la que perdí un NFT por firmar con mis emociones y no con datos; publico esto con la intención de evitar que le suceda a alguien más. ¿Cómo sucedió? fue un mix de pasión por el arte registrado en blockchain (onchain), mecanismos para recompensar la participación en proyectos (airdrops), un correo de phishing que imitaba a un nuevo marketplace y mi falta de verificación de datos que casi drenan mi billetera. Encontrarás las señales, mecánicas y pasos para mantenerte seguro, los permisos que delegas con tu billetera y pasos básicos de seguridad.
Pak – Diciembre 2021
En 2021, en medio del mercado alcista (bullrun) de los NFTs, mi interés por el arte onchain me llevó a Pak, un artista anónimo con trayectoria reconocida y ventas millonarias. Pak lanzó un proyecto llamado “Merge”: un juego onchain en el que 312,686 NFTs llamados Mass se fusionaban al comprarse, manteniendo siempre un solo NFT por billetera. El visual de cada Mass es un círculo que crece mientras más NFTs acumulas.
Desde mi perspectiva y finanzas, pensé en adquirir un Mass 1 (m(1)) y esperar a que el mercado acumulara y, por consiguiente, los m(1) fueran cada vez más escasos, subiendo de valor por la demanda. A la fecha de publicación, aún existen 10,000 m(1) con un precio mínimo (floor-price) de 168 dólares estadounidenses y la colección tiene un volumen de ventas de más de 9 millones.
Se anunciaba un airdrop de Matter (otra colección de Pak) en base a una tabla de clasificación de acumulación de Mass. Estos Matter tenían funciones inusuales a nivel de contrato, como transferencias controladas, algo que Pak ha explorado en varios proyectos y reconocidos como los primeros experimentos en Ethereum con mecanismos “ocultos” en NFTs.
Merge recaudó 91.8 millones de dólares en su lanzamiento en Nifty Gateway en diciembre de 2021, ganando varios reconocimientos, incluido el récord Guinness a la edición abierta de NFTs más cara de la historia. Esto generó debate en comunidades de arte; incluso varios editores de Wikipedia votaron por eliminar a Merge (junto a Beeple y su obra The First 5000 Days, subastada por $69.3 millones) de la lista de obras más caras de artistas vivos, ya que para ellos, estos NFTs no calificaban como “arte”.
$APE – Marzo 2022
Pasaron varios meses y gracias a mi m(1) aprendí mucho sobre los contratos de Pak en su Discord, viviendo una de mis primeras experiencias en un proyecto de esta dimensión, ya que no solo se trata de mantener el NFT en tu billetera; el NFT se convierte en una carnet con membresía programable y en este caso, me daba acceso al Discord de Pak, uno de los usos más comunes hoy en día.
Todo esto coincidió con el lanzamiento de $APE, la moneda de la comunidad Bored Ape Yacht Club (BAYC) y muchas otras comunidades empezaron a crear mecanismos ‘permissionless’ basados en $APE; la formula siempre es similar a “si tienes X token, tienes acceso a Y” donde Y puede ser un canal en Discord, el derecho a un mint, acceso a eventos, descuentos en mercadería, etc., etc., etc.
Ahora bien, no soy fan de BAYC ni de $APE, tampoco tengo nada en contra, pero pensé: “Si mantengo $APE en mi billetera (holdear), probablemente tenga acceso a plataformas, experiencias, airdrops, etc.” justo como con Pak y, por experimentar, compré la vasta cantidad de… 1 $APE 🤣. Más adelante esto me iba a quemar y salirme mucho más caro, pero no por la moneda ni por el proyecto, sino por mi propia falta de cuidado y por dejarme llevar por emociones.
BLUR – Noviembre 2022
Blur nació como un marketplace para NFTs, con una postura fuerte apoyando las regalías (royalties) en ventas secundarias para artistas onchain, mientras que OpenSea las había dejado opcionales. Este mecanismo permite que cada artista siga recibiendo regalías en cada reventa, no solo en la venta inicial, gracias a que en web3 todo es un bloque de construcción público y reusable a lo largo del tiempo. Cualquier persona (o agente IA) puede construir sobre esta data, que es parte de la “magia” de web3 y Blur utilizó esto a su ventaja.
La competencia entre marketplaces era tan fuerte que Blur publicó activaciones como esta ↓
Con la mayoría de proyectos en web3, hay un periodo de ‘farming’, en donde los usuarios que creen en el producto lo usan para encontrar anomalías, reportar errores, etc. y ayudan a captar usuarios a cambio de una recompensa de tokens del proyecto al final del farming (airdrop). Esto se vuelve el pan de cada día para los farmers, ya que puede durar años. En ese periodo, los mecanismos para subir en las tablas de clasificación (leaderboards) son los más buscados, suelen ser opacos para mantener la competencia sana, pero también es cuando aumentan los riesgos de phishing y otras estafas. MUCHO CUIDADO.
9 de noviembre, 2022 – Phishing
Más bien mi falta de cuidado, porque recordemos que si estamos en plataformas sobre protocolos descentralizados, la responsabilidad de mantenernos seguros es nuestra, mientras que si estamos en plataformas centralizadas como FTX, Celsius, Binance, etc, o proyectos como OneCoin (que ni siquiera usaban blockchain), si podemos ser víctimas de estafas que se salen de nuestras manos y muchas veces es solamente por la ‘comodidad’ y los ‘discursos’ que estas plataformas y proyectos ofrecen.
El 9 de noviembre de 2022 recibí un email en donde Blur daba beneficios a holders de $APE, dando inicio al phishing por mi error de dejarme llevar por mis emociones, pensando que mi plan de holdear $APE para recibir beneficios en otro proyecto “había dado resultado”… 🤦🏽♂️.
Hice clic.
El sitio era idéntico al oficial de Blur… todo, TODO en la portada del sitio era idéntico! Si sos dev, sabes que tampoco es tan difícil copiar la parte visual de otro sitio web, pero bueno… emociones. Conecté mi billetera y di clic en el botón para verificar mis tokens y validar el $APE que holdeaba, según yo sin nada que perder.
Acá viene el paso más importante, pero también el más complejo si no has usado web3. Explico brevemente lo que necesitas saber y dejo algunos enlaces si quieres expandir.
Cuando pones en venta tokens, la plataforma suele pedir una firma EIP-712 a tu billetera, con la que autorizas la orden de venta y con la cual se definen activo, precio, expiración y operador. Es como firmar un permiso para que un predio venda tu carro en tu nombre. Un sitio de phishing suele disfrazar esa solicitud como un “log-in” o una “verificación” de tus activos. En realidad te hace firmar una orden EIP-712 por valor 0 o un ‘permit/permiso‘. Cualquiera de las dos permite al atacante completar la transferencia de tokens sin otra confirmación. Sin embargo, acá hay un paso previo clave, esto funciona si y solo si, ya le has dado el permiso a otra plataforma legitima de transferir tus NFTs, como cuando los pones en venta en cualquier marketplace legitimo; cosa que yo ya había realizado con uno de mis tokens pero nunca regrese a revocar los permisos abiertos.
Este proceso es necesario para protocolos descentralizados en donde el código es ley, abierto e inmutable, no tengas miedo a hacerlo si estás en la plataforma correcta, es un mecanismo de seguridad.
En plataformas centralizadas, piénsalo muy bien, haz tu investigación, pregunta si todo está ‘onchain’, en qué red, dirección de contratos, verifica si el código es público, si puedes retirar la totalidad de tus tokens en cualquier momento y sin el permiso de nadie y si tiene algún tipo de control central. Si algo es centralizado, el grupo o institución en control puede hacer con tus activos lo que le plazca… similar a lo que pasa con nuestros fondos en el sistema bancario tradicional.
En fin, firmé… pensando que solo estaba verificando los tokens en mi billetera (holdings) 🤦🏽♂️
Luego apareció una segunda ventana pidiendo permisos para mover o gastar tokens de otra colección. Era un ‘setApprovalForAll‘: la función que menciono que otorga a un operador el permiso para transferir los NFTs de esa colección en tu nombre, no la transferencia como tal, solo el permiso. No fija precio ni vende nada, pero abre la puerta para el EIP-712. En un marketplace legítimo sirve para ejecutar ventas y ofertas sin fricción; en un clon de phishing, si lo aceptás, el operador puede mover tus piezas de inmediato. Ahí reaccioné… el nombre de la colección a la que me pedía permisos no tenía nada de relación con lo que pensaba que estaba haciendo. Cerré todo inmediatamente y fui a revisar el email original… claro, venía de una dirección con caracteres aleatorios y un dominio similar al de Blur 🙄.
Abrí el enlace en otro navegador y en modo privado. Sin sorpresa, el dominio tenía una letra diferente al oficial… si, una sola letra, pero, en ese momento yo no entendía lo del permit y el setApprovalForAll, solo sabía que me había conectado a un sitio falso y que había salido “a tiempo” sin transferir nada, estaba confiado que nada había pasado.
Días después entré al Discord de Pak, casi un año después de mi compra y no encontré el canal de holders… raro. Repetí la verificación de NFTs… nada. ¿Cómo así? Fui a OpenSea a revisar mis holdings y pequeña sorpresa… mi m(1) ya no estaba. Lo busqué por ID y, en el historial de actividad, me encontré con la transferencia por 0 dólares…
Gracias por participar :/
Reflexiones
Señor@s, mi primer contacto con un drenador de billeteras (wallet drainer) hecho y derecho. Si no me hubiera detenido a revisar con paciencia la segunda ventana que me presentó el sitio, seguramente hubiera perdido todos mis holdings en esa billetera.
Parece muy lógico y sencillo evitar estos ataques, pero nuestras emociones y el trajín del día a día nos distraen, además si nos adentramos a CriptoTwitter (CT) sabemos que la velocidad es clave si estas participando en airdrops y farming, por lo que debemos estar conscientes que existen altas probabilidades de estafas y de perder el capital con el que estas jugando si no sigues las reglas oficiales. También debes estar consciente que comprar un memecoin o farmear un proyecto no te garantiza NADA, NO ES INVERSIÓN, algunos son un juego de sillas y no solo el que queda de último pierde. No juegues con más de lo que estás dispuesto a perder… no ‘vendas la granja‘ ni inviertas tus ahorros por emociones y promesas vacías. La ingeniería social es real y nos pasa a todos… sin embargo, contando mi historia espero que te prepares mejor y no te dejes manipular.
Por otro lado, es muy emocionante, gratificante y educacional participar en proyectos legítimos, con profesionales a bordo que empujan la innovación a nivel mundial sobre la blockchain. Hay un sin fin de personas con buenas intenciones construyendo en Ethereum, tomate el tiempo para buscarlas, investigar lo que hacen detenidamente para recopilar data y apoyarlos cuando estén alineados a tus pasiones. Solo así podrás comprender si tienen una ventaja diferencial y que tu apoyo (inversión) pueda dar frutos en el futuro, para todos y no solo para unos cuantos.
Bien lo dice el white paper de Bitcoin: “a system for electronic transactions without relying on trust.” → “un sistema para transacciones electrónicas sin depender de la confianza.”
No confíes, verifica.
Recomendaciones
Aquí les dejo las recomendaciones básicas para no ser víctima de phishing:
- Verifica que el nombre del dominio (dirección en internet) sea el oficial.
- Confirma las direcciones en los perfiles oficiales en redes sociales y plataformas como Discord.
- Evita enlaces en anuncios.
- Evita acortadores de direcciones web, pueden redireccionarte a un sitio web malicioso.
- Revisa la solicitud de firma en tu wallet:
- ¿De qué dominio viene?
- ¿En qué cadena?
- ¿Cuál es la función que se ejecuta?
- ¿Qué permisos estarías firmando?
- No firmes setApprovalForAll ni permit desde sitios web o enlaces que no conozcas.
- Usa una ‘hardware wallet‘ como bóveda y una ‘hot wallet’ como Metamask, Rabby o Rainbow, con fondos mínimos y sin ningún token que estés holdeando o coleccionando.
- Si están disponibles, activa la opción de simulación de transacciones y alertas anti-phishing en tu wallet.
- Revoca los ‘approvals/permisos’ periódicamente con revocadores de confianza, como Etherscan.
- Ni intentes “reclamar premios” no anunciados en canales oficiales. NO LO HAGAS, EL ‘TAL VEZ’ NO EXISTE!
- Protege tu frase semilla (seed-phrase) y contraseñas en papel y cajas de seguridad, no en internet.
- Nunca ingreses tu seed-phrase o contraseña en sitios o extensiones. ÚNICAMENTE EN TU BILLETERA
- Mantén actualizado tu navegador y las extensiones que utilizas.
- Desinstala aplicaciones que no uses.
Acá te comparto cómo se ven las ventanas de firma en Metamask. Estas imágenes pueden cambiar a lo que ves en tu versión, recuerda que web3 está en constante evolución, siendo cada vez más segura y eso se reflejará en las aplicaciones que utilices.
Conclusiones
Web3 aún tiene problemas de usabilidad y claridad en la experiencia de usuario (UX), pero se ha avanzado mucho en este aspecto y todos los días se avanza más. Las billeteras son mucho más claras con los detalles de las transacciones que realizas, cada vez más proyectos proponen nuevos mecanismos para evitar este tipo de problemas de seguridad y si seguimos los consejos al pie de la letra, seguramente podremos disfrutar de los proyectos en los que nos involucramos sin mayor problema. Millones de personas ya lo hacen sin caer en estafas.
Me alegra contarte que esta es la única vez que he caído en una estafa en web3 y que no tengas miedo a participar, hay muchas otras formas de usar la blockchain e inveritr con mucho menor riesgo, como el DCA.
Por último, acá puedes ver mi m(1) y su historial, tanto la transferencia sin valor (la estafa, marcada en verde) y luego ya vendida por el scammer a otra billetera…
Si tienes dudas:
¿Qué billeteras usar?
¿Cómo comprar NFTs?
¿Qué es Discord?
etc, puedes continuar la conversación en nuestro Telegram con el enlace al pie de la página.
Bienvenido!
Unirme en Telegram//RECUERDA: Ningún integrante de la comunidad te pedirá tu frase privada (”seed-phrase”) o fondos por ninguna vía. De ser así, repórtalo inmediatamente en el canal de Telegram ‘general’