Estafas Comunes

Estafas con frases semilla

Descripción: El software de tu monedero, cuenta de intercambio, o similar, necesita que verifiques tu frase semilla, por seguridad, KYC, u otras razones legítimas. Pierdes todas tus criptomonedas y NFTs.

Lo que está pasando: NO hay ninguna razón legítima por la que ningún servicio o proyecto necesite su frase semilla. Nunca ocurrirá. Se trata de una aplicación falsa extremadamente convincente, un aviso, un sitio web, un correo electrónico, etc. Hay otras maneras de verificar la seguridad, la identidad, etc., su frase semilla nunca se utiliza para esto.

Cómo remediarlo:

• El único momento en el que necesitas utilizar tu frase semilla es cuando decides que quieres recuperar el acceso a un monedero antiguo. Es una decisión que tú tomas, nunca es una petición externa.

• Si utilizas un monedero hardware, nunca introducirás la frase semilla en tu ordenador, sólo en el propio dispositivo hardware. Si el software del monedero hardware en su ordenador se lo pide, es una estafa. Algo lo está suplantando.

• Si utilizas un monedero móvil, sólo introducirás la frase semilla en la aplicación del monedero después de elegir comenzar el proceso de recuperación. Si la aplicación del monedero te pide la frase semilla, eso es una estafa. Algo la está suplantando.

Trucos para la aprobación de tokens

Descripción: Un proyecto es suplantado, o su sitio web es hackeado, y usted firma una transacción aprobando el gasto de sus tokens. O bien has hecho una aprobación previamente, y el sitio/herramienta es hackeado más tarde. Esa aprobación se utiliza de forma maliciosa y tus tokens son retirados de tu cartera.

Lo que está pasando: Cuando quieras realizar un intercambio o cualquier otra acción que implique que un contrato inteligente tenga que interactuar con un token de Ethereum de tu propiedad, tienes que aprobar primero que ese contrato inteligente tenga acceso a tus tokens. Una vez que tenga esta aprobación, podrá mover tus tokens por su cuenta si así lo desea. Aprobar una pequeña cantidad de acceso cuesta lo mismo en gas que aprobar una gran cantidad, por lo que a menudo se sugiere realizar una "aprobación ilimitada" para el acceso a ese token, en lugar de aprobar sólo la cantidad exacta necesaria en ese momento.

Ejemplo: Quieres cambiar 100 Dai por Eth en Uniswap. Primero tienes que aprobar la capacidad de Uniswap para acceder a tu Dai. Podrías aprobar sólo el acceso a 100 Dai, pero ¿qué pasa si quieres intercambiar más Dai en el futuro? Hacer una sola transacción de "aprobar todos los Dai" ahora, significa que no necesitas aprobar más Dai antes de cualquier intercambio futuro. Esto ahorra al usuario gas y acelera los intercambios futuros. Pero, ¿qué pasa si más tarde se encuentra un error en el contrato inteligente Uniswap, que permita a un hacker acceder a esta aprobación ilimitada?

Cómo remediarlo:

• Puedes editar la transacción para aprobar sólo la cantidad del token que deseas intercambiar, o una cantidad menor que refleje la cantidad que te gustaría intercambiar en un futuro próximo. Aquí tienes un ejemplo de cómo hacerlo.

• De vez en cuando, puedes comprobar y revocar las autorizaciones antiguas que hayas hecho en el pasado. Puedes hacerlo aquí: https://etherscan.io/tokenapprovalchecker

Estafas en los mensajes de firma

Descripción: Un servicio malicioso o hackeado te pide que firmes un mensaje con tu cartera, aparentemente para algo inocuo. Luego te roban tus NFT de ese mismo monedero.

Lo que está pasando: Puedes utilizar tu cartera de Ethereum para realizar acciones sin gas, en las que no se requiere que se envíe una transacción en la cadena y se pague el gas. Por ejemplo, votar en un DAO con Snapshot, obtener acceso exclusivo a un canal de discord verificando que controlas una cartera que posee un determinado NFT, o poner a la venta un NFT en OpenSea. Estos casos de uso son comunes y generalmente positivos. Pero si alguien te engaña para que firmes un mensaje que no entiendes, podría ser para hacer algo como poner tus NFT en venta privada al hacker a precios cercanos a cero.

Cómo remediarlo:

• Firme sólo los mensajes que entienda para los servicios en los que confía.

• No firmes mensajes prometiendo dinero gratis sin antes comprobar que el proyecto es legítimo, o que no está suplantando un proyecto legítimo. Sólo ve a preguntar y espera, si es sensible al tiempo es una estafa.

• Utiliza el método de monedero caliente/frío descrito al principio de esta página y no firmes con tu monedero frío. Un mensaje firmado sólo cubre el monedero que lo ha firmado.

Estafas de Airdrop

Descripción: Ves que un proyecto que te gusta te ha lanzado un airdrop con un nuevo NFT o Token.Vas a venderlo, o sigues el enlace de un sitio web en su descripción o los detalles de la transacción. Tu cartera se ve repentinamente comprometida y pierdes tus criptomonedas y NFTs.

Lo que está pasando: No era un airdrop real, era una estafa que pretendía ser el proyecto que te gusta. La forma en que esto puede salir mal varía según el atacante y la complejidad de la estafa. Podría ser un activo envenenado, algo que parece un Token o NFT normal, pero cuando interactúas con él (vendiendo) se comporta de forma inesperada y maliciosa que es difícil de predecir. O puede enlazarle a un sitio que infecte su ordenador o se dedique a una de las otras estafas mencionadas anteriormente.

Cómo remediarlo:

• No hagas nada hasta que verifiques que el airdrop es real. Nunca sigas el enlace que te da el airdrop, puede llevar a un fake muy convincente. En su lugar, ve al sitio de ese proyecto o al discord por tu cuenta para confirmar que el drop es real.

• Espere y vea. Por lo general, las cosas con una presión de tiempo extrema son estafas. Los proyectos legítimos se toman el tiempo necesario para evitar FUD

• Cualquiera puede enviar un airdrop a cualquier dirección, así que considéralos los mismo que un correo de spam. Tú no harías clic en un enlace de un correo electrónico de spam, ¿verdad? Primero comprobarías a través de otro medio de comunicación si es legítimo y te dirigirías directamente a la fuente.

Virus/Troyano/Malware

Descripción: Vas a un sitio web o haces clic en un enlace. Las criptomonedas y los NFT de tu cartera empiezan a desaparecer.

Lo que está pasando: Tienes un virus, o un hacker pudo acceder a tu ordenador, y no estabas usando una cartera de hardware. No utilizar un monedero de hardware significa que las claves utilizadas para acceder a tus criptoactivos están almacenadas en tu ordenador, para que cualquiera pueda robarlas. He aquí una historia similar, y lo que hicieron después para detenerla.

Cómo remediarlo:

• Házte con un monedero hardware. Con un monedero hardware, tus llaves no viven en tu ordenador.

• Un monedero hardware reduce enormemente este riesgo, pero no lo elimina. Con un monedero hardware, necesitas aprobar una transacción, por lo que no ocurrirá nada sin que la apruebes, pero un virus podría infectar tu MetaMask y alterar la transacción que estás aprobando. Verifica la transacción en la pantalla del monedero hardware antes de aprobarla.

Compartiendo tu pantalla

Descripción: Estás recibiendo soporte técnico y te piden que compartas tu pantalla para ayudar a diagnosticar un problema. Lo haces, y después de un momento las Crypto y los NFTs comienzan a salir de tu cartera.

Lo que está pasando: El soporte técnico, aunque parecía legítimo, en realidad eran estafadores. Mientras compartían su pantalla, tenía que hacer clic en algo que parecía inofensivo pero que les revelaba alguna información útil. Podía tratarse de tu frase semilla, un código de "emparejamiento" para permitir que su dispositivo móvil accediera al monedero de tu ordenador, o algún otro truco.

Cómo remediarlo:

• Al solucionar un problema de crypto, nunca compartas tu pantalla.

• Si parece necesario para resolver el problema, tómate un momento. Termina la sesión de soporte, piénsalo bien y pide consejo, e inténtalo de nuevo más tarde. Puedes obtener asesoramiento en una comunidad crypto de confianza.

• No utilices los datos de contacto que te han dado para volver a intentarlo más tarde. Ve al sitio web del servicio y presenta una nueva solicitud. Esto puede suponer un retraso, pero la paciencia es la mejor defensa.

• Si parece que todavía necesitan que compartas tu pantalla, ofrécete a enviar capturas de pantalla en su lugar. Regístralas primero para ver si hay algún signo de información comprometedora.