El phishing de consentimiento es una táctica de estafa que existe desde hace muchos años. Pero mientras que los estafadores de phishing de consentimiento se han dirigido históricamente a grandes sectores de usuarios de criptomonedas a través de la proliferación de aplicaciones de criptomonedas falsas, los estafadores de romance (también conocidos como estafadores de carnicería de cerdos) parecen haber adoptado esta técnica con gran efecto en los últimos años.
El phishing de consentimiento se diferencia de otras estafas de criptomonedas por un pequeño pero importante detalle. Normalmente, los estafadores engañan a sus víctimas para que les envíen criptomonedas, generalmente a través de una falsa oportunidad de inversión o haciéndose pasar por otra persona. Pero en una estafa de phishing de consentimiento, el estafador engaña al usuario para que firme una transacción de blockchain maliciosa que otorga a la dirección del estafador la aprobación para gastar tokens específicos dentro de la cartera de la víctima, lo que permite al estafador vaciar la dirección de la víctima de esos tokens a voluntad. Algunas víctimas han perdido decenas de millones por estas estafas.
Es importante tener en cuenta que, en general, los estafadores de consentimiento envían los fondos de la víctima a un monedero distinto del que ha recibido la aprobación para realizar transacciones en su nombre. El patrón en la cadena suele ser el siguiente:
- La dirección de la víctima firma la transacción que autoriza a la segunda dirección gastar sus fondos
- La segunda dirección, a la que nos referiremos como la dirección aprobada del gastador, ejecuta la transacción para mover los fondos a una nueva dirección de destino.
En general, si las transacciones se realizan de esta manera, y la dirección aprobada del gastador es la que inicia la transacción que vacía el dinero, en lugar de la dirección de la víctima, como se esperaría en una transacción no maliciosa, es probable que se trate de un caso de phishing de consentimiento. Sin embargo, sería necesario investigar más a fondo para saberlo con certeza.
Muchas aplicaciones descentralizadas (dApps) en blockchains habilitadas para contratos inteligentes, como Ethereum, requieren que los usuarios firmen la aprobación de transacciones que dan permiso a los contratos inteligentes de las dApps de mover los fondos en posesión de la dirección del usuario. Las aprobaciones concedidas a las dApps protegidas suelen ser seguras porque los contratos inteligentes correctamente diseñados sólo pueden utilizar esa aprobación cuando el usuario se lo indique, o cuando dicha aprobación sea necesaria para el funcionamiento normal de la dApp. En esos casos, lo normal es que la dirección del usuario de la dApp sea la que inicie la transacción para gastar los fondos. Pero, los estafadores de consentimiento pueden aprovecharse del hecho de que muchos usuarios de criptomonedas están acostumbrados a firmar aprobaciones de transacciones – el truco está en qué permisos se dan, y la fiabilidad de la parte que recibe ese permiso. Por ejemplo, en una estafa de phishing de consentimiento, los estafadores promocionaron una historia falsa de una estafa de de este tipo de Uniswap, y crearon una página falsa de Etherscan en la que los usuarios podían comprobar la aprobación de sus transacciones conectando sus monederos y firmando una aprobación de transacción para ver si habían sido víctimas – esa última transacción era el núcleo de la estafa real de phishing de consentimiento.
Sin embargo, las investigaciones sugieren que los estafadores de consentimiento se dirigen cada vez más a víctimas concretas, entablan relaciones con ellas y utilizan tácticas asociadas a estafas románticas para convencerlas de que firmen la aprobación de una transacción. Taylor Monahan (alias @tayvano_), jefe de producto de Metamask, ha realizado un seguimiento del phishing de consentimiento al estilo de las estafas románticas en un panel personalizado de Dune Analytics.
Identificamos un conjunto de 1,013 direcciones implicadas en lo que parece ser phishing de consentimiento selectivo partiendo de una lista más pequeña de direcciones de phishing de consentimiento cuyos propietarios se sabe que utilizan tácticas de estafa romántica. A continuación, identificamos otras direcciones conectadas a las de la lista inicial que habían realizado transacciones similares, lo que nos permitió construir una red más completa de la actividad en cadena de los usurpadores de identidad interconectados. Calculamos que las víctimas de las direcciones con las que empezamos, más las que identificamos en función de su patrón de actividad, han perdido aproximadamente 1,000 millones de dólares por estafas de phishing de consentimiento desde el inicio de la elaboración de nuestro conjunto de datos en mayo de 2021. Si bien es importante tener en cuenta que este total de 1,000 millones de dólares es una estimación basada en patrones en cadena, y que parte podría representar el lavado de fondos ya controlados por los estafadores, es probable que esta cifra sea solo la punta de un iceberg mucho más grande. Las estafas románticas se denuncian muy poco, y nuestro análisis partió de un conjunto limitado de casos denunciados.
Los presuntos estafadores de phishing de consentimiento que estamos rastreando vieron su pico de ingresos en mayo de 2022. En total, en 2022 las víctimas perdieron unos 516.8 millones de dólares debido al phishing de consentimiento, en comparación con solo 374.6 millones de dólares en 2023 hasta noviembre. Al igual que muchas otras formas de delitos basados en criptomonedas, la gran mayoría de los robos por phishing de consentimiento son obra de unos pocos actores con mucho éxito. Podemos ver esto en el siguiente gráfico de distribución, que muestra los ingresos por phishing de consentimiento de nuestras 1,013 direcciones durante el periodo de tiempo estudiado, y la cantidad acumulada de todo el valor robado mediante phishing de consentimiento por las direcciones de nuestra muestra en orden descendente.
La dirección de phishing de consentimiento con más éxito probablemente robó 44.3 millones de dólares a miles de direcciones de víctimas, lo que representa el 4.4% del total estimado robado durante el periodo estudiado. Las diez mayores direcciones de phishing de consentimiento suman el 15.9% de todo el valor robado durante el periodo estudiado, mientras que las 73 mayores suman la mitad de todo el valor robado.
Creemos que la industria puede abordar el problema de la estafa de phishing de consentimiento de varias maneras, desde la educación de los usuarios hasta el empleo de tácticas de reconocimiento de patrones similares a las que utilizamos para recopilar estos datos. En términos generales, las direcciones y monederos relevantes en las estafas de phishing de consentimiento son:
- Monederos de gastadores autorizados que las víctimas son engañadas para que designen como aprobados para gastar los fondos de su monedero.
- Direcciones de destino a las que se drenan los fondos de las víctimas
- Direcciones de consolidación donde se reúnen los fondos drenados de muchas víctimas
Los fondos suelen trasladarse de las direcciones de consolidación a los puntos de cobro -principalmente bolsas centralizadas-, como vemos en el gráfico siguiente.
Basándose en los patrones identificados anteriormente, los equipos de cumplimiento de las bolsas podrían supervisar la blockchain en busca de monederos de consolidación sospechosos de phishing de consentimiento con gran exposición a direcciones de destino. Así, podrían ver en tiempo real cuándo esos monederos mueven fondos a su plataforma y tomar medidas como congelar automáticamente los fondos o informar a las fuerzas de seguridad. En términos más generales, el sector puede trabajar para educar a los usuarios para que no firmen la aprobación de transacciones a menos que estén absolutamente seguros de que confían en la persona o empresa del otro lado, o entiendan el nivel de acceso que están concediendo.