Estafa de sitio de reclamo de airdrop falso: Cómo los drainers roban tu billetera (y cómo verificar)

— By Tony Rabbit in Tutorials

Estafa de sitio de reclamo de airdrop falso: Cómo los drainers roban tu billetera (y cómo verificar)

Una estafa de sitio de reclamo de airdrop falso utiliza un token no solicitado en tu billetera como cebo para atraerte a una página maliciosa que te pide que firmes una aprobación de drenaje. Aquí está la cadena de ataque exacta, lo que realmente hace la firma y cómo verificar antes de conectarte.

Una estafa de sitio de reclamo de airdrop falso es una técnica de robo donde los atacantes depositan un token no solicitado en tu billetera, lo nombran con una URL de "reclamo" y confían en tu curiosidad para llevarte a un sitio web malicioso que te pide que firmes una transacción de drenaje de billetera. El token en sí es un cebo inofensivo. El daño ocurre en el momento en que te conectas y apruebas una solicitud en el sitio falsificado. A diferencia de un airdrop legítimo, nunca hay nada real esperando que reclames. Todo el embudo existe para fabricar una única firma fraudulenta, y comprender ese embudo es la diferencia entre perder una billetera y desechar la basura.

Puntos clave

  • El token no solicitado es un cebo, no un valor. El robo ocurre en el sitio de reclamo, no en tu billetera.
  • El sitio te pide que firmes una aprobación o un permiso fuera de la cadena que entrega a un drainer el control de tus activos.
  • Los airdrops reales se anuncian primero a través de canales oficiales. Verificas el canal, luego vas al sitio, nunca al revés.
  • La acción predeterminada correcta es no hacer nada. Nunca firmes para "reclamar" un token que no esperabas. Ocúltalo y sigue adelante.

La cadena de ataque de una estafa de sitio de reclamo de airdrop falso

El ataque se ejecuta en una secuencia predecible. Primero, un token desconocido aparece en tu billetera. Nunca lo compraste, nunca interactuaste con el proyecto y, a menudo, nunca oíste hablar de él. El nombre o símbolo del token es frecuentemente una URL, algo como "Reclama en rewards-xyz.com" o "Vale de $2,000 - visita el sitio". Este es el señuelo. El token se distribuye masivamente a miles de direcciones a la vez, a veces combinado con un pequeño ataque de dusting que envía pequeñas cantidades para que las billeteras parezcan "activas" y valga la pena atacarlas.

Segundo, la curiosidad hace el trabajo del atacante. Ves un saldo aparente, buscas el nombre y aterrizas en un sitio que parece un portal de reclamo pulido: temporizador de cuenta regresiva, marca del proyecto, un botón brillante de "Reclamar ahora". Tercero, conectas tu billetera. Cuarto, el sitio presenta una transacción o solicitud de firma que no es lo que parece ser. Apruébala, y un drainer contract barrerá tus tokens reales, stablecoins o NFTs en segundos. Nunca llega ningún reclamo. El token en tu billetera siempre fue solo un cartel que apuntaba a la trampa.

Lo que el sitio malicioso realmente te pide que firmes

El botón de reclamo nunca te da nada. Pide un permiso, y el peligro reside en la diferencia entre cómo se ve la ventana emergente y lo que hace. Hay dos mecanismos principales, y ambos son silenciosos por diseño.

El primero es una aprobación de token. Crees que estás habilitando un reclamo, pero estás otorgando a un contrato inteligente permiso para mover un token específico de tu billetera, a menudo por una cantidad ilimitada. El segundo es una firma de permit fuera de la cadena. Esto parece un mensaje inofensivo de "inicio de sesión" sin tarifa de gas, que es exactamente por qué la gente lo aprueba sin pensar. En realidad, autoriza el mismo tipo de transferencia a través de una firma sin gas. Si no estás seguro de cómo difieren, nuestro desglose de permisos de token de aprobación versus permit explica por qué el que no tiene gas es a menudo el más peligroso de los dos.

Lo que dice la ventana emergenteLo que realmente haceIndicador
"Aprobar para reclamar"Otorga a un contrato derechos de gasto sobre tu token, a menudo ilimitadosLa aprobación es para un token que posees, no para el de basura
"Firmar para verificar billetera" (sin gas)Permiso fuera de la cadena que autoriza una transferencia sin gas de tus activosFirma gratuita que nombra a un gastador y una cantidad
"Confirmar para recibir tokens"Envía una transacción a un drainer que barre los saldosEstás pagando gas para "recibir" algo gratis

Por qué un token no solicitado en tu billetera es una señal de alerta

Los airdrops legítimos casi nunca comienzan depositando por sorpresa un saldo negociable y pidiéndote que visites un sitio web. Las distribuciones reales se anuncian con antelación, generalmente se reclaman a través del propio dominio verificado del proyecto al que navegaste deliberadamente, y no dependen de que un token aparezca misteriosamente primero. Cuando el token llega antes de cualquier anuncio y su nombre es una llamada a la acción, la secuencia se invierte, y esa inversión es la señal.

Un token inesperado es funcionalmente un anuncio que cualquiera puede colocar en tu billetera por unos pocos centavos, porque enviar tokens a una dirección no requiere permiso del destinatario. Trátalo como tratarías un folleto deslizado debajo de tu puerta que promete un premio gratis "si llamas a este número". La mera apariencia de valor no es evidencia de valor. Para el patrón más amplio de cómo se construyen y detectan estas estafas de airdrops falsos, consulta nuestra guía para identificar estafas de airdrops falsos.

Cómo verificar un canal oficial de airdrop antes de conectar

La verificación invierte el flujo de la estafa. En lugar de dejar que un token te lleve a un sitio, comienzas desde una fuente en la que ya confías y trabajas hacia afuera. Nunca hagas clic en un enlace que te haya llegado. Encuentra el proyecto de forma independiente.

  • Comienza desde la fuente oficial, no desde el token. Localiza el proyecto a través de un agregador de buena reputación, su cuenta social verificada de larga data o un sitio de documentación al que llegaste escribiendo la dirección tú mismo.
  • Verifica el dominio. Los sitios drainer utilizan URLs similares con palabras adicionales, letras intercambiadas o dominios de nivel superior extraños. Compara la ortografía exacta con múltiples referencias oficiales antes de conectar cualquier cosa.
  • Confirma que el airdrop fue anunciado primero. Un reclamo real se documenta antes de que se abra. Si no puedes encontrar una publicación oficial anterior a la llegada del token, asume que es un cebo.
  • Lee cada solicitud de firma. Si un "reclamo" te pide que apruebes un token que ya posees o que firmes un permit sin gas que nombra a un gastador desconocido, recházalo. Nuestra guía sobre cómo evitar estafas de criptomonedas cubre la disciplina más amplia de conectar y firmar.

La opción predeterminada de no hacer nada: nunca firmes para reclamar, solo oculta el token

La respuesta más segura a un token no solicitado es la más barata: nada. No necesitas venderlo, devolverlo o "reclamarlo". Un token que se encuentra en tu billetera no puede mover tus activos por sí solo. Solo una firma que autorices puede hacerlo, por lo que retener la firma detiene el ataque. Oculta o filtra el token como spam en la interfaz de tu billetera y sigue adelante.

Si ya te has conectado a un sitio sospechoso, no firmes nada más por pánico y revisa tus permisos existentes. Utiliza una herramienta de aprobaciones de confianza para revocar cualquier aprobación de token que no reconozcas, ya que una aprobación concedida sigue funcionando hasta que la eliminas. Si temes que una transacción ya se haya realizado y los fondos estén en riesgo, sigue los pasos de contención inmediatos en nuestra guía de recuperación de billeteras de criptomonedas de inmediato, moviendo cualquier activo restante a una billetera nueva antes de hacer cualquier otra cosa. La estafa del sitio de reclamo de airdrop falso solo tiene éxito cuando proporcionas el único ingrediente que no puede falsificar: tu propia aprobación.

Este artículo tiene fines educativos únicamente y no es asesoramiento financiero.