Campañas de phishing apuntan a las aplicaciones Web3 DeFi

PhishFort.com y MyCrypto.com colaboraron en este articulo.

Esta es la segunda pieza de colaboración con MyCrypto. En la primera pieza, escribimos sobre nuestro descubrimiento acerca de una gran campaña dirigida a usuarios de criptomonedas con extensiones de navegador. Predijimos que estas campañas continuarían creciendo en tamaño y cantidad, y habría muchas más extensiones de navegador maliciosas que llegarían a medida que avanzara el año. Puede leer nuestra primera publicación aquí: Discovering Fake Browser Extensions That Target Users of Ledger, Metamask, and others.

Publicamos por primera vez un artículo sobre el aumento del phishing en Web3 a principios de este año para generar más conciencia sobre esta nueva ola de phishing.

Este artículo tiene como objetivo crear conciencia sobre las "dapps de phishing"; aplicaciones Web3 maliciosas que están diseñadas para robar su criptomoneda pretendiendo ser una aplicación o servicio legítimo. Estos tipos de kits de phishing aparecieron en nuestro radar durante el cierre de MakerDAO SAI, que requirió una nueva herramienta para ayudar a los usuarios a migrar de SAI a DAI.

Este dominio (sai2dai.com) albergaba una interfaz simple que indicaba que iniciaría una conversión 1: 1 de DAI de garantía única (SAI) al nuevo DAI, al igual que el puente oficial. Sin embargo, la transacción que realmente realizaría sería simplemente enviar SAI a una dirección propiedad de los atacantes.


Estos kits de phishing aprovechan un patrón de UX peligroso utilizado por aplicaciones legítimas, pero ahora las aplicaciones ilegítimas se aprovechan cada vez más de ellos: ingresar su clave privada directamente en una interfaz web.


Ejemplos de los kits de phishing que descubrimos

Esta iteración del phishing de Web3, al menos a partir de las muestras que descubrimos, parece estar dirigida por un grupo de malos actores. Un grupo de ellos residía en la misma infraestructura junto con otras estafas de criptomonedas - 198.54.120.244. Este parece ser un servidor de alojamiento web compartido ofrecido por Namecheap, pero debido a la superposición en el contenido y el método de ataque, es seguro asumir que las campañas están siendo ejecutadas por los mismos actores.

Una sola IP alojó las múltiples campañas, casi con certeza dirigidas por el mismo actor de amenazas.

Si ingresa su clave privada o frase mnemotécnica en estos sitios web, enviará sus secretos a un script PHP del lado del servidor llamado submit.php que luego será procesado por el mal actor. Luego se firmarán las transacciones, autorizando el traslado de sus activos a su dirección. Debido al hecho de que tienen su clave privada, esta cuenta ahora está completamente comprometida, desde hoy hasta el final de los tiempos.

Análisis de infraestructura

A medida que nos encontramos con dominios maliciosos, archivamos ciertos datos para ayudar con artículos como este y rastrear los patrones y evoluciones que se observan en la naturaleza. También usamos estos datos para encontrar más dominios de phishing de criptomonedas con la esperanza de evitar que los usuarios de criptomonedas sean víctimas de nuevos dominios y estafas lo más rápido posible.


A continuación, se muestra un grupo de dominios que utilizan el "kit de suplantación de identidad de Web3" descrito anteriormente:

domain,domain_created,notes
saitodai.app,2019-11-25 05:24:15 UTC,
sai-to-dai.com,2019-11-25T09:24:23Z,
sai2dai.exchange,2019-11-25 09:28:28 UTC,
sai2dai.link,2019-12-02 02:51:53 UTC,
sai2dai.pro,2019-12-06 04:53:15 UTC,
makerdao.tools,2019-12-21 19:12:36 UTC,
makerdao.live,2019-12-21 19:12:45 UTC,
makerdao.click,2020-01-14 04:27:12 UTC,
makerdao.llc,2020-01-20 07:40:06 UTC,
migrate.makerdao.guide,2020-01-22 13:15:21 UTC,
maker.migrate.tools,2020-01-26 14:22:00 UTC,
maker.dao.migrate.ltd,2020-01-29 09:02:42 UTC,
maker.dao.migrate.fund,2020-02-05 16:07:58 UTC,
maker.dao.migrate.claims,2020-03-25 02:23:20 UTC,
makerdao.redeem.fund,2020-05-27 18:50:37 UTC,
makerdao.redeem.bz,2020-06-03T00:48:52,
portal.fulcrum.network,2020-06-10 09:02:27 UTC,
uniswap.services,2020-06-10 09:02:30 UTC,
portal.curvefinance.network,2020-06-11 21:34:40 UTC,
portal.uniswap.dev,2020-06-12 07:44:12 UTC,
portal.hex-node.network,2020-06-13 07:15:24 UTC,
portal.synthetix.dev,2020-06-14 11:01:26 UTC,
uniswapv2v1.org,2020-06-16 21:57:38 UTC,Not weaponised
hexnode.online,2020-06-19 16:10:27 UTC,Not weaponised
fulcrum.plus,2020-06-21T05:32:23Z,
makerdao.one,,
makerdao.cash,,
makerdao.ltd,,

De nuestro conjunto de datos, la primera transacción de SAI a la dirección de un actor defectuoso conocido estaba en el bloque 8,983,524 (2019/11/23), que es una dirección que pertenece a saitodai.app. El dominio se registró solo dos días antes, según WHOIS. Esto podría significar que…

  • Había otra URL utilizada por el mismo actor que no conocemos (lo más probable)
  • El actor sembró la dirección con algunos fondos para que pareciera más legítima

Los grupos de suplantación de identidad (phishing) han dedicado una cantidad de tiempo cada vez mayor a trabajar para que los usuarios puedan ver estas estafas. Con estas URL, utilizan la optimización de motores de búsqueda y Telegram DMs.

Un ejemplo de la campaña sai-to-dai superando a la legítima

También notamos que las marcas que están siendo atacadas están cada vez más relacionadas con DeFi. Esto tiene sentido, ya que DeFi ha crecido significativamente durante el último año y, a menudo, atrae a usuarios nuevos e ingenuos con promesas de retornos fáciles. A saber, estos kits roban la marca de:


  • MakerDao
  • Uniswap
  • Fulcrum
  • Synthetix
  • Curve Finance

En el momento en que estas URL estaban en estado primario, estas eran las principales aplicaciones DeFihe top DeFi applications (la parte superior generalmente se mide por "valor total bloqueado").

Desde entonces, la lista "superior" ha cambiado un poco. La reciente explosión de #YieldFarming ha llevado a Compound a la cima. Aave también ha subido rápidamente en la lista después de ganar una gran tracción en febrero / marzo de 2020. Fulcrum / bZx ha bajado en la lista.

Una llamada a la acción

Sospechamos que estos kits continuarán evolucionando para apuntar a las dapps de criptomonedas más utilizadas, de las que más se habla o la mayoría de las que están "en las noticias". Especialmente si la dapp atrae a usuarios menos experimentados que pueden no estar tan atentos.

Cuando la recompensa es tan valiosa y anónima como los activos y secretos de las criptomonedas, estos atacantes iteran rápidamente y apuntan a las aplicaciones más utilizadas y de las que más se habla. En 2017 y 2018, a menudo vimos correos electrónicos y mensajes de phishing que usaban un evento real que estaba en las noticias (una ICO, un hard fork, otro truco) para aumentar su ROI. Ahora están usando la migración de DAI a SAI. Mañana será otra cosa.

Utilizan una combinación de urgencia, miedo a perderse algo y miedo a verse afectados negativamente (por un hard fork, ICO, migración de tokens u otro elemento procesable) con la esperanza de que la persona objetivo actúe rápidamente y nunca se dé cuenta de que está interactuando. con una aplicación maliciosa.

A medida que su producto, aplicación o servicio gane uso y popularidad, le instamos a que tome medidas para educar a su comunidad y a sus usuarios sobre este tipo de ataques.

  • Recuérdeles que los secretos son secretos por una razón.
  • Recuérdeles que estén atentos y marquen las dapps con las que interactúan.
  • Recuérdeles que ni su sitio ni su equipo nunca les pedirán sus claves privadas / frases mnemotécnicas / frases semilla / contraseñas que sean más cuidadosos cuando temen perderse, no menos, y siempre verifiquen la URL en la que se encuentran y la dirección a la que envían.
  • Comparta información educativa en sus redes sociales y directamente en su producto. Instale herramientas de código abierto como Protect que mitigan en gran medida el daño que causa el phishing.

Un agradecimiento especial a Harry Denley de MyCrypto por la colaboración en esta pieza y la colaboración continua para hacer de las criptomonedas un lugar más seguro.

Consultas? Comuníquese en Twitter o Telegram. Suscríbase a nuestra fuente RSS para recibir nuestras últimas actualizaciones.

No se pierda Nuestras Historias