>> ¿Has recibido tokens desconocidos en tu wallet de Metamask? Cuidado, podría tratarse de un scam.
>> En este post te explicaremos qué son los scam aidrops, cómo detectarlos y cómo puedes evitarlos.
“He recibido tokens desconocidos en mi wallet de Metamask” Ten mucho cuidado
Como se suele decir en España,
“Nadie da duros a cuatro pesetas”.
O lo que es lo mismo: las personas no suelen regalar porque sí. Si recibes un airdrop o una transacción en tu wallet y no sabes de quién puede ser, desconfía.
Internet y la blockchain son tecnologías maravillosas que ya están cambiando el mundo, pero también pueden ser peligrosas si no conoces bien cómo funcionan.
En este post vamos a analizar los airdrops de tokens scam, los cuales tienen como objetivo romper la seguridad de las wallets de quienes los reciben.
La seguridad de la blockchain empieza en ti
La blockchain o cadena de bloques es un registro único, consensuado, descentralizado (distribuido) y público donde se reflejan todas las transacciones que ocurren en la red.
Al tratarse de un registro pseudónimo en el que los usuarios no están registrados ni la actividad regulada por terceras partes, la propiedad se define de una forma muy concreta: quien tiene las claves de una dirección (wallet) es propietario/a de lo que contiene. Y si se tiene la propiedad se tiene la potestad de hacer lo que se quiera, que básicamente puede ser no hacer nada o iniciar una transacción. Así de sencillo.
Sin embargo, pseudónimo no significa privado, ya que en la mayoría de blockchains cualquier usuario puede ver la actividad de una dirección wallet y los activos digitales que contiene. La gracia está en que la tecnología de las wallets cada vez avanza más para evitar que terceras personas puedan identificar a quién pertenecen las mismas.
Si quieres más información como ésta, únete a nuestro canal de Telegram:
Cualquiera puede iniciar una transacción hacia ti
Debido a la naturaleza pública y permisionada de la blockchain, cualquier persona puede iniciar una transacción si es propietaria de las claves privadas necesarias para ello. Y, en consecuencia, si dispone de tu dirección pública, puede enviarte criptomonedas y tokens si lo desea sin que tú puedas hacer nada.
Sin embargo, una vez dicha transacción ha sido verificada por la blockchain, la propiedad y la capacidad de decisión sobre qué va a pasar con esos activos depende solamente de ti, ya que sólo tú posees (o deberías poseer) las claves privadas de tu wallet.
E aquí la primera pista sobre cómo protegerte de los ataques que estamos mencionando en este post. PISTA 1: si no sabes qué es, no toques nada.
¿Qué son los falsos airdrops?
Tal y como indica su nombre, son airdrops que pretenden suplantar a otros proyectos no fraudulentos o bien que carecen de valor económico o tecnológico. El objetivo principal de estos ataques son que los usuarios cometan errores y otorguen acceso a los fondos de su wallet a los smart contracts maliciosos al intentar reclamar o canjear los tokens.
Crear un nuevo token (ERC-20, BEP-20, etc.) es relativamente sencillo y barato. Estos estándares permiten la creación de nuevos tokens de forma muy rápida y permiten a cualquier persona o equipo testear sus ideas sin tener que arriesgar demasiado tiempo o capital.
Sin embargo, pese a las bondades que suponen la aplicación de estos estándares, esta situación también permite el acceso a personas con intenciones maliciosas.
¿Cómo funcionan los airdrops falsos?
El objetivo principal de este tipo de ataques suele ser que el usuario dé acceso a su wallet a un smart contract malicioso para que así los scammers tengan acceso a los activos digitales y se los puedan llevar. El procedimiento suele ser el siguiente:
- El usuario recibe tokens desconocidos en su wallet. Suelen ser de tipo ERC-20 o BEP-20 pues son las redes más conocidas dentro del ecosistema DeFi (Finanzas Descentralizadas).
- Como tiene curiosidad (a nadie le amarga el dinero gratis) suele ir a exchanges como Uniswap o PancakeSwap a ver si puede cambiarlo por otro activo (ETH, BNB, DAI, etc.).
- Por lo general, este tipo de tokens no suele tener liquidez en los exchanges, por lo que hacer el intercambio tiene mucho impacto en el precio y no sale a cuenta (demasiada pérdida).
- Aquí viene la parte importante: la mayoría de estos tokens tienen asociado un nombre con una dirección web o bien tratan de suplantar la identidad de otro proyecto no fraudulento, aunque poco conocido o en desarrollo. El usuario decide ir a la web a informarse a ver qué puede hacer con esos tokens que le han regalado.
- En la web, que suele parecer muy profesional o ser una copia de otra web, se da la opción al usuario de reclamar (claim) sus tokens. Aquí es donde viene el riesgo: tendremos que conectar nuestra wallet y dar permiso al smart contract para que interactúe con ella y que pueda hacer gastos o pagos. Si es un smart contract o un script malicioso, podría robarnos nuestros tokens y criptomonedas que tengamos en la wallet.
Airdrop Scam: TheEver.io
Un ejemplo de airdrop scam que a fecha de hoy sigue vigente es el token TheEver.io (EVER).
Este scam utiliza la técnica de enviar tokens de forma anónima y arbitraria a una gran cantidad de wallets. Tal y como podemos ver en la imagen anterior, el token ha sido enviado a más de 5 millones de direcciones. Los hackers han utilizado la Binance Smart Chain debido a sus bajas comisiones que les permiten enviar el airdrop a más direcciones con un menor coste.
Concretamente, este token trata de emular a otro proyecto legítimo que aún no ha lanzado su propio token.
El token TheEver.io (EVER) está disponible en el exchange PancakeSwap (cualquier persona puede listar un token y añadir liquidez). Sin embargo, la liquidez es relativamente baja por lo que la gran mayoría de usuarios no podrán cambiar sus tokens.
Por lo tanto, deciden ir a la web que viene escrita en el propio nombre del token y lo primero que les aparece es un mensaje en el que puedes ‘Reclamar’ (Claim) tus tokens.
Aquí es donde hay peligro de que puedan robarte tus tokens, tal y como relata un usuario en este post:
La verdad me arriesgué a probar el token con una billetera nueva para saber cómo funciona la estafa.
Esto es lo que descubrí. No se roban los fondos si se conecta metamask con alguna aplicacion confiable como PancakeSwap u otra para intercambiar el token scam.Los usuarios cuando ven el token lo intentan cambiar inmediatamente en pancake, al ver que hay liquidez y que no pueden cambiar ingresan a la web scam. Dentro de la web scam, lo primero que se pide es conectar la cartera, y aprobar el token. Hasta aquí no hay gran riesgo. Su script lee tu cartera y te pide el permiso para gastar tus tokens, uno a uno. Sin darte cuenta el estafador podrá solo tomar los tokens que aprobaste sin darte cuenta.
El objetivo, como puedes comprobar, es conseguir que tu curiosidad/avaricia haga que tomes malas decisiones y los hackers tengan acceso a tus fondos. Desgraciadamente, es muy posible que un gran número de personas de las 5 millones de direcciones que han recibido el token tomen riesgos y puedan ser víctimas de un robo.
Otro tipo de tokens fraudulentos que han seguido un esquema similar son: Thevera.io y Alpaca.
¿Cómo actuar si recibimos un airdrop de tokens desconocido?
Como profesionales de la formación en criptomonedas en nuestros cursos, a menudo nuestros alumnos nos han compartido experiencias poco agradables (pérdidas, robos, scams, etc.).
Y algo que hemos detectado, concretamente en el mundo de las inversiones y especialmente en el mundo de las criptomonedas, es que las personas toman decisiones que no tomarían en la vida real.
¿Si recibes algo que no sabes qué es ni de dónde procede en tu vida real, qué es lo que deberías hacer? Para nosotros está claro: DESCONFIAR.
En esa línea, vamos a establecer las pautas sobre qué debes hacer si recibes un airdrop de un token o criptomoneda del cual desconoces su procedencia:
Primer paso: NO hacer NADA.
Lo primero que debes hacer si recibes un token o criptomoneda en tu wallet y desconoces su procedencia es no hacer nada.
No tengas prisa por tomar una decisión, sobre todo si trabajas en el ecosistema DeFi donde hay una mayor descentralización y permisividad a la hora de crear nuevos tokens y protocolos.
Como comentábamos al principio de este post, ahora “la pelota está en tú tejado”. Sólo tú tienes las claves privadas de tu wallet por lo que sólo tú puedes decidir qué hacer con esos tokens que has recibido de forma totalmente inesperada.
No te precipites en tomar una decisión, a menudo, cuando no sabemos de algo, lo mejor es no hacer nada y esperar a tener más información.
Segundo paso: INVESTIGA
El siguiente paso que debes dar es investigar para obtener una mayor información sobre el token que has recibido.
¿Podría tratarse de un airdrop al que tú mismo/a te apuntaste y ahora no lo recuerdas? Si es así puedes empezar por buscar en el historial de transacciones de tu wallet, revisar en tu cuenta de CoinList o revisar en tu Telegram por si te uniste a algún grupo del token. A veces puede ocurrir que pase bastante tiempo entre el inicio de una campaña de airdrops y el airdrop mismo.
Si aún así no encuentras la procedencia, lo mejor es que investigues. Busca en la web, en Twitter, en Reddit o en cualquier otro sitio donde pueda haber información al respecto. Existen infinidad de blogs y foros donde los usuarios comparten sus experiencias personales.
También puedes echar un vistazo en el explorador de bloques para ver más detalles del token. Por ejemplo, no es muy común que el token sea listado con el nombre de una web (TheEver.io).
Otro punto para desconfiar es cuando el token se ha enviado a muchas direcciones, pero no está en ningún exchange o hay muy poca liquidez. Esto puede indicar que ese token ha aparecido de la nada y que no tiene nada que lo sustente.
También es importante que mires si el smart contract ha sido compartido o no. Esto lo puedes ver en el propio explorador de bloques. Si aparece codificado, puede ser un síntoma de que los creadores quieren esconder sus verdades intenciones.
Y no te olvides de revisar sus redes sociales o grupos de Telegram, muy importantes para cualquier proyecto que se precie.
Tercer paso: ASEGÚRATE que no cometes ERRORES en el FUTURO
Lo más probable en esta situación es que decidas que lo mejor que puedes hacer es no tocar nada (y, seguramente, estés en lo cierto).
Lo mejor en ese caso es que te asegures de que no cometerás ningún error en el futuro. Los seres humanos solemos tener más presente la memoria a corto plazo que la de largo plazo cuando se trata de tomar decisiones.
Por ese motivo, lo más prudente es que hagas todo lo posible porque en el futuro no cometas el error de intentar reclamar esos tokens (por olvido). Para ello, lo más prudente es que si has incluido el contrato en tu Metamask o cualquier otra wallet lo ocultes.
Y, por último y no menos importante, intenta siempre revisar webs de referencia como puede ser Icodrops para informarte.
Te puede interesar…