Tips
- La wallet de Ethereum MetaMask se ha actualizado para que los usuarios sean más conscientes de lo que están firmando cuando se solicita un determinado permiso.
- Esa función es muy utilizada en las estafas de las redes sociales que han hecho que los usuarios pierdan millones de dólares en NFT y tokens.
Las estafas en las redes sociales están en auge en el espacio de las NFT, con usuarios de Twitter y Discord engañados para conectar sus wallets de criptomonedas a contratos inteligentes maliciosos—y que sus NFT y otros tokens sean robados como resultado. Ahora, la wallet principal de Ethereum, MetaMask, ha actualizado su interfaz para intentar ayudar a los usuarios a reconocer y evitar estas estafas.
MetaMask lanzó esta semana una nueva actualización 10.18.0 de la wallet, que incluye un cambio en la forma en que el software presenta un permiso setApprovalForAll (establecer Aprobación Para Todos) solicitado. Conceder ese permiso permite al contrato inteligente—el código que alimenta las NFT y las aplicaciones descentralizadas—la capacidad de acceder y transferir todos los NFT y tokens de una wallet.
Tras la actualización, tal y como señaló la empresa de seguridad Wallet Guard en Twitter, MetaMask ahora deja más claro que un contrato inteligente solicita amplios permisos, incluido el acceso a cualquier fondo que se encuentre en la wallet—una función que puede ser utilizada para los llamados exploits "wallet drainer".
.@Metamask 10.18.0 is out 🙌
This update includes the much-needed emphasis for when a transaction is requesting "Set Approval For All"
Kudos to the team for addressing this quickly pic.twitter.com/zWHVVPszzR
— Wallet Guard (@wallet_guard) July 27, 2022
Las capturas de pantalla publicadas en el repositorio de desarrollo de software GitHub de MetaMask muestran un nuevo aviso que utiliza una fuente más grande que el resto de la interfaz. El texto de ejemplo dice: "¿Dar permiso para acceder a todo tu BAYC?" (o Bored Ape Yacht Club), con una advertencia adicional que dice: "Al conceder el permiso, estás permitiendo que la siguiente cuenta acceda a tus fondos".
El ingeniero de software de MetaMask, Alex Donesky, escribió en GitHub el 22 de junio que "hay cierta urgencia por sacar algo, ya que este método es muy utilizado". También añadió que la "línea de tiempo está comprimida", y admitió que no era como él enfocaría el cambio si hubiera más tiempo para desarrollarlo.
De hecho, la actualización llega tras una racha de estafas que se propagan principalmente a través de cuentas de redes sociales hackeadas. En primavera, las cuentas verificadas de numerosos usuarios de Twitter fueron secuestradas y utilizadas para compartir enlaces de estafa inspirados en destacados proyectos de NFT como Azuki y Otherside, y para robar los NFT y los tokens de los usuarios que, sin saberlo, conectaron sus wallets a los contratos inteligentes.
Más recientemente, las cuentas de Twitter de varios proyectos de NFT y coleccionistas notables fueron hackeadas para compartir tipos de enlaces similares, facturando como una entrega de NFT o tokens gratuitos. Estas estafas también se han producido a través de cuentas de Discord e Instagram hackeadas. Esto ha llevado a un debate sobre si los creadores y los proyectos deben compensar a los usuarios que pierden activos a través de estas estafas.
A principios de este mes, la plataforma de registro de gotas de NFT Premint se vio afectada por un hackeo a su sitio web que utilizó la función setApprovalForAll para robar una serie de valiosos NFT y tokens de los usuarios afectados. Al final, la empresa reembolsó a los usuarios más de 500.000 dólares en ETH, y también compró y devolvió un par de valiosos NFT de colección.
"La interfaz de usuario de las wallets más populares necesita ser mejorada drásticamente para hacer casi imposible que alguien se conecte a un drenador de wallets", dijo el fundador de Premint, Brenden Mulligan, a Decrypt la semana pasada. "Este es un problema solucionable, pero es una locura que sea tan fácil drenar una wallet y no haya más advertencias para proteger a la gente".
Para ser claros, la actualización de MetaMask no hace ningún tipo de juicio sobre el contrato al que los usuarios intentan conectarse, y no llama específicamente a las estafas identificadas. Además, hay usos potencialmente legítimos para la función setApprovalForAll para ciertas dapps, como en los mercados NFT, lo que sólo confunde aún más la decisión del usuario.
Aun así, la actualización de MetaMask podría ayudar a minimizar el impacto de las estafas. Algunos coleccionistas de NFT que han caído en este tipo de estafas en las redes sociales han sido acusados de aprobar imprudentemente las transacciones debido al FOMO y al frenesí especulativo en torno a los NFT, y este paso adicional podría dar a los usuarios la pausa—y la oportunidad de reconsiderar sus acciones.
Veremos si MetaMask lleva esta nueva función más allá en futuras actualizaciones, así como si las wallets de la competencia adoptan técnicas similares. Las estafas no se limitan a los usuarios de MetaMask, después de todo, y tampoco a Ethereum. Solana tiene una función similar (signAllTransactions), y un notable coleccionista de NFT acaba de ser víctima de una estafa de este tipo a través de su wallet Phantom.
Rescuing a Lost Monke: Post-mortem on getting a wallet drained and losing my PFP
First off this thread is not a call for donations. I have funds to recover what is lost and while I appreciate the love, your money would be better served helping other people!
— N◎M (🥐,🍌) (@TheOnlyNom) July 28, 2022
El cofundador seudónimo de MonkeDAO, Nom, tuiteó anoche cómo su wallet fue drenada en un ataque cuando interactuó con un contrato inteligente que creía seguro. Nom escribió que perdió unos 500 SOL (unos 20.200 dólares) y NFTs, incluyendo uno de Solana Monkey Business, que el atacante vendió después por 197 SOL (7.736 dólares).