Ciberseguridad en la Web3, Cómo proteger sus NFTs

[TL;DR]

La adopción de las NFT´s está aumentando, alcanzando 30 mil nuevos usuarios en septiembre y un volumen de operaciones de 70.000 millones de dólares en 2022.

El éxito del activo ha atraído buena y mala atención, atrayendo a actores maliciosos que estafan a usuarios desprevenidos.

Los usuarios de web3 que deseen escapar de las pérdidas deben llevar a cabo ciertas prácticas para proteger sus NFT´s de estafas y ataques.

Una de estas prácticas incluye el desarrollo de la alfabetización de Web3 para detectar transacciones y tratos falsos y perjudiciales.

Otra es almacenar adecuadamente las claves de los monederos y las frases de semillas de forma segura en los monederos fuera de línea.

Visión general de Web3 y del crecimiento de los NFT este año.

A medida que Web3 se afianza en el mercado mundial, las NFTs desempeñan un papel importante en esta adopción. En el momento de escribir este artículo, los activos digitales únicos registran un volumen total negociado de 68.000 millones de dólares. Se trata de un enorme aumento del 75% respecto a los 17.000 millones de dólares de principios de año. Y aunque la macroeconomía ha asestado un golpe asombroso a las criptomonedas y a la web3 este año, la adopción de las NFTs sigue aumentando. Según la empresa de análisis de criptomonedas Intotheblock, en septiembre, 30.000 nuevas direcciones utilizaban NFT. Además, más de mil nuevas colecciones de NFT llegaron al mercado por la misma época. De hecho, como predijo Kevin O'Leary de Shark Tank, parece que el activo en línea superará, con el tiempo, a Bitcoin en capitalización de mercado.

Fuente: Forbes

Por qué necesitas aprender a proteger tus NFTs

Al igual que numerosos creadores, artistas, coleccionistas e inversores han gravitado hacia los tokens no fungibles, también lo han hecho los actores maliciosos. Estas entidades emplean todo tipo de sofisticadas payasadas para conseguir que las plataformas y los usuarios liberen información que les permita acceder a sus fondos y activos ganados con esfuerzo. En consecuencia, aunque la gente obtenga beneficios en web3, algunos están perdiendo fondos significativos debido a problemas de seguridad. Algunos de estos problemas son las estafas de tirón de alfombra, los robos de empleados y, más a menudo, los ataques de phishing y la piratería informática. Examinemos brevemente los dos últimos, ya que son más frecuentes en el espacio de las NFT.

Dos grandes amenazas a la ciberseguridad en Web3

Fuente: AAG - AAG Ventures

Ataques de phishing

En esta forma de violación de la seguridad, las entidades maliciosas crean un sitio web falso utilizando un enlace similar a uno legítimo. A continuación, realizan un escenario de ingeniería social que anima a los desprevenidos titulares de NFT a hacer clic en su enlace falso. Suelen presentarse en forma de oportunidades demasiado buenas para ser verdad, como lanzamientos únicos en la vida o un lanzamiento temprano o exclusivo de tokens. A veces incluso mienten diciendo que la cuenta de su víctima ha sufrido una brecha de seguridad y que debe cambiar su contraseña, etc.

Sea cual sea la forma que adopten, estas ofertas siempre están limitadas en el tiempo, y juegan con el miedo de los usuarios a perderse algo (FOMO). Éstos, a su vez, dan a los estafadores acceso a las claves privadas de los titulares de los monederos y, por extensión, a los fondos y activos digitales que contengan.

Un ejemplo notable de esto ocurrió en febrero de este año con una destacada plataforma de NFT, Opensea. Los usuarios perdieron más de 1.200 ETH (3,4 millones de dólares) de NFTs en un ataque de phishing al mercado de NFT. Otro ataque similar tuvo lugar en mayo y afectó a NFT de Moonbird por valor de cerca de 1,5 millones de dólares (750 ETH).

Ataques de hacking

Esto ocurre cuando los hackers irrumpen en plataformas legítimas y de confianza, dándoles acceso a la información, los fondos y los activos de los usuarios. Puede ocurrir en plataformas web3 y web2, incluyendo Twitter, Instagram, Discord e incluso sitios web. Al igual que las estafas de phishing, los hackers se basan en la velocidad para conseguir, cobrar y salir antes de que nadie sospeche. Se han producido muchos exploits de este tipo desde principios de este año. Estos estafadores tienen como objetivo nombres destacados como Bored Ape Yacht Club y Opensea, entre otros. Un excelente ejemplo de este tipo de ataque fue cuando el Discord de Alethea Al fue hackeado en marzo. Sus usuarios perdieron 840 ETH, aproximadamente 1,8 millones de dólares en ese momento. Además, el más grande de este año fue el hackeo de una cartera caliente que afectó a diez carteras de Lympo, una marca de NFT basada en los deportes. Las víctimas perdieron la enorme cantidad de 18,7 millones de dólares en tokens LMT en ese único hackeo que tuvo lugar en enero.

Según los datos de Comparitech, el espacio web3 perdió 36,5 millones de dólares en NFT en ataques de phishing y hacking en el primer trimestre de 2022. Aunque la mayoría de las plataformas trabajan incansablemente para protegerse de posibles brechas de seguridad, es dolorosamente evidente que son inevitables. Por ello, debes aprender a proteger tus activos por ti mismo o serás víctima de los numerosos estafadores que existen.

¿Cómo protejo mis NFTs?

Ahora que sabes por qué debes prestar atención a la seguridad de tus tokens no fungibles, la pregunta es ¿cómo? A continuación, se indican las prácticas más importantes que debes adoptar para mantener tus activos a salvo de los explotadores:

Mantenga sus claves a salvo: Si no estás constantemente comprando, vendiendo o intercambiando tus NFTs, mantén tus claves fuera de línea en monederos fríos. Sí, los monederos calientes (almacenamiento en línea) hacen que el acceso a sus claves privadas y la confirmación de las transacciones sea fácil y rápida. Sin embargo, estas claves que confieren la propiedad son vulnerables a los hackeos mientras las almacene en línea. La mejor opción es mantenerlas a salvo en carteras de hardware sin conexión. Esto hace imposible que los hackers se hagan con tus claves. Recuerda que mientras esté en línea, ningún monedero es inexpugnable.

Vigile dónde hace clic: Como se ha mencionado anteriormente, los actores maliciosos clonan enlaces legítimos para engañar a los usuarios desprevenidos. Pero no importa lo sutil que sea, siempre habrá una señal que lo marque como ilegítimo. Por lo tanto, compruebe siempre dos veces los enlaces en los que hace clic y asegúrese de que la URL es real.

Resista las ofertas FOMO: el mayor asesino en la inversión siempre será la codicia. Como dice el refrán, si algo parece demasiado bueno para ser verdad, suele serlo. Por lo tanto, tenga cuidado con las ofertas que acepta. Esto se aplica especialmente a las que le presionan para que actúe inmediatamente. Verifica desde varias fuentes. La página legítima que te ofrece un trato podría estar comprometida; comprueba sus otras plataformas. Si la oferta está en Twitter, comprueba el Discord de la empresa para una verificación adicional. Resiste el impulso de actuar por miedo a perderse algo (FOMO). Rara vez acaba bien.

No firme a ciegas: No firmes contratos inteligentes basados en la confianza. Haz la debida diligencia utilizando un monedero que revele todos los detalles necesarios de los contratos que firmes. Los estafadores suelen disfrazar sus acciones con indicaciones inofensivas. Si el monedero que utilizas restringe habitualmente partes de los detalles del contrato inteligente, puede ser tentador firmar a ciegas, pero no lo hagas. Podrías estar regalando el dinero que tanto te ha costado ganar sin saberlo. Asegúrese de conocer todos los detalles de lo que está firmando.

Evite las ofertas de DM: Los protocolos suelen anunciar cualquier incentivo, oferta o trato en sus sitios web o plataformas de redes sociales. Es poco común, incluso imposible, que se dirijan a sus usuarios de forma individual. Por lo tanto, si una plataforma parece ofrecerte un trato en tu DM, es mejor que huyas. Es más que probable que se trate de un actor malintencionado que busca despojarte de tus NFTs. Lo más sensato es ignorar cualquier oferta que no llegue por los canales adecuados.

Entienda las funciones de los contratos inteligentes antes de firmarlos: Muchos usuarios de web3 tienen dificultades para entender los elementos de los contratos inteligentes que firman. Una cosa es no firmar a ciegas, y otra cosa es comprender lo que se está viendo. Aquí es donde entender las funciones de tu contrato inteligente es imperativo para evitar ser explotado por malos actores. Da el paso de educarte en elementos críticos de la web3 como las funciones de los contratos inteligentes. Te ayudará a distinguir entre una transacción y una confirmación, etc. Y así será difícil que seas víctima de ataques encubiertos.

Tu frase semilla es tuya, nunca la compartas: Tu frase clave o frase de recuperación es lo único que se interpone entre tú y la pérdida de tu cartera en caso de que pierdas tu clave. Es la información de respaldo para acceder a tus tokens y fondos. Es de uso exclusivo para ti. Por lo tanto, sería mejor mantener tu frase semilla a salvo y fuera de línea, al igual que las claves de tu monedero.

Para terminar,

Dado que ningún sistema es totalmente infalible, puedes proteger tus tokens no fungibles y otros activos digitales de forma razonablemente segura tomando precauciones. A medida que las brechas de seguridad continúan haciendo estragos en el mundo de la web3, puedes hacer algo por la seguridad de tus activos. Estas son las principales precauciones que le permitirán superar la mayoría de los ataques de hacking y phishing. Serás uno de los pocos usuarios expertos de web3 con activos bien protegidos si las pones en práctica.

Autor: M. Olatunji, investigador de Gate.io

Descargo de responsabilidad:

*Este artículo representa únicamente las opiniones de los observadores y no constituye ninguna sugerencia de inversión.

*Gate.io se reserva todos los derechos de este artículo. Se permitirá la reproducción del artículo siempre que se haga referencia a Gate.io. En todos los demás casos, se emprenderán acciones legales por infracción de los derechos de autor.