Estafa en Metamask: alerta de fraude y robo por ‘air drops’ y scams

Las estafas en Metamask no son algo nuevo. El exchange ha sido víctima de airdrops scam fraudulentos por parte de hackers. Te lo contamos.

¿Qué es thevera.io? Numerosos usuarios han alertado en los últimos días del token thevera.io: una estafa masiva que está teniendo lugar a través de Metamask y mediante la cual podemos perder todo nuestro dinero, criptmonedas y tokens de forma instantánea a través de un hackeo que se produce con el token scam VERA. Sin duda, no es la mejor de las noticias ahora que se ha comenzado a especular con la posibilidad de que Metamask esté preparando el lanzamiento de tu propio token coin.

Thevera.io Scam: nunca aceptes airdrops de origen desconocido (VERA)

Metamask sigue siendo una plataforma segura, pero debemos extremar las precauciones y, sobre todo, entender su funcionamiento para protegernos de hackeos. Estos días, además, también se han registrado robos a través de la descarga de una app que se hacía pasar por PancakeSwap (que no tiene app, pues sólo opera vía web) en la plataforma Google Play Store. A continuación en Café con Criptos te explicamos los dos tipos de estafas que se han registrado y te explicamos qué precauciones debes tomar a la hora de comprar y vender tokens.

Cómo funciona el hackeo scam thevera.io

Es fundamental conocer en todo momento el contenido de nuestra wallet Metamask. Según hemos podido saber gracias al canal Hablemos de Cripto, la estafa de pishing que se ha registrado en los últimos días consistía en la firma de un contrato llamado VERA (thevera.io) según el cual el usuario le daba acceso total al hacker a su cartera Metamask. Así funciona:

  1. Recibes un airdrop misterioso con un determinado número de tokens. De repente, en tu cartera Metamask hay tokens desconocidos con los que no contabas. Recientemente se han registrado muchos casos de usuario que reciben 800.000 tokens de thevera.io.
  2. Consultas en Internet el valor de los tokens y comprueba en una página web (creada por el hacker expresamente para la estafa) que dicho token es de gran valor.
  3. Se abren dos posibilidades: o bien conectas tu Metamask en dicha página web scam, o bien copias el contrato del token de esta web y lo añades manualmente en Metamask.
  4. Independientemente de lo que hagas, estás perdido: al otorgarle acceso a tu Metamask, el hacker puede disponer de todos tus fondos en cuando pulses el botón para realizar el intercambio de tokens. Es importantísimo saber a quién estamos dándole nuestra autorización de wallet Metamask.

Nunca, bajo ningún concepto, hagas trade de tokens que no conoces y cuya dirección de Bsc Scan (red certificada de Binance) no hayas verificado de antemano. Es crítico que a la hora de agregar un contrato nos cercioremos de que se trata del contrato original. No copies y pegues ningún contrato que se comparta en Twitter, foros, grupos de Telegram o cualquier otro canal. El contrato únicamente debería ser copiado de la web de Bsc Scan o de la web original del proyecto.

Y ni así.

Que un proyecto de token o cripto tenga web propia hace tiempo que dejó de ser una garantía de seguridad. Si algo ha aprendido la comunidad cripto durante la avalancha, en la primavera de este año, de los tokens shitcoins es que es fundamental que sólo hagamos trade de tokens y criptomonedas que cuenten con seguridad y garantías.

Consulta en foros, pregunta en chats, pregúntale a Google; invierte algo de tu tiempo en investigar cuál es el recorrido del token y cuál es su proyecto, quiénes son sus responsables y cuál ha sido la evolución de su precio.

Cómo eliminar token thevera.io de Metamask

Una vez hayamos detectado el airdrop estafa, evidentemente lo primero que tenemos que hacer es eliminarlo de nuestra cartera Metamask. Para ello, haremos lo siguiente:

  1. Accedemos a la web de BscScan y conectamos nuestra wallet.
  2. Pinchamos en la pestaña Misc, y dentro de ella, en Token Approvals.
  3. Pegamos la dirección de nuestra billetera.
  4. Miramos uno a uno nuestros contratos y detectamos los tokens desconocidos.
  5. Pinchamos en el botón azul a la derecha del todo (Revoke) para revocar el contrato.
  6. El contrato ya no forma parte de nuestro Metamask.

PancakeSwap: estafa y robo mediante una app falsa en Google Play

Aunque parezca increíble, la tienda de aplicaciones de Google ha albergado hasta hace cuestión de horas una aplicación falsa que, bajo el nombre de “Pancake Swap” se hacía pasar por la plataforma PancakeSwap (nótese que la app falsa se escribía con dos palabras en lugar de una).

Aprovechando el furor que vive desde hace semanas el sector de los juegos NFT que pagan por jugar, Javier Sánchez, de Madrid, se descargó dicha app y facilitó la frase de seguridad que todo usuario de Metamask configura al abrir su cuenta por primera vez. En cuestión de segundos, Javier perdió 3.000 dólares que ahora descansan en la billetera de una persona cuya identidad, por desgracia (y debido a la naturaleza de la blockchain) es prácticamente imposible determinar.

“Mi miedo ahora es que, al conectar la wallet a la web donde tengo el resto de tokens, encuentren mis demás wallets y se lleven el resto de mis tokens. No sé si con cambiar la contraseña es suficiente. Estoy desesperado”, ha comentado Javier en el grupo de Telegram oficial en Español del juego NFT Mist, donde ha dado a conocer su caso. Se da la circunstancia de que el viernes había sido un día clave en dicho videojuego, pues Mist ha abierto al público la marketplace donde se compran y venden NFT.

Si bien es inadmisible que una app scam de Pancake Swap haya pasado los filtros de la store de Google, aquí la lección aprendida es más básica que la del robo de Metamask: nunca, bajo ningún concepto, le facilitemos a nadie la frase de doce palabras de nuestra wallet de Metamask.

No es la primera vez que se registran casos de pishing o de robo masivo de fondos en el mundo de las criptomonedas, y es poco probable que estos dos ejemplos de estafa con criptomonedas sean los últimos.

Aunque lleve más de una década entre nosotros, la tecnología del blockchain y de los contratos inteligentes aún arrastra consigo cierta atmósfera de novedad y desconocimiento por parte del gran público. Si a esto le añadimos el reciente frenesí inversor vivido en el bull run de Bitcoin este año, y la consiguiente explosión de tokens shitcoins de dudosa naturaleza que han surgido bajo la sombra de fulguroso ascenso de BTC (una explosión, por cierto, de naturaleza más cercana a las casa de apuestas que a la de la verdadera inversión), el desastre está servido.

Conforme aumente la aceptación del Bitcoin y de las bondades que la cadena de bloques puede aportar a la sociedad, crecerán también las medidas de seguridad y las defensas frente a los sujetos maliciosos que han sabido aprovecharse de las grietas del ecosistema blockchain.

14 Comentarios

  1. Gracias por el post! Aunque una vez está revocado el contrato no pasa nada, el airdrop sigue en el monedero, entiendo que eso no se puede hacer nada no? Ni quitarse de ese tipo de listas de airdrop spam?
    Saludos

      • No desaparece. De hecho no es necesario revocar el contrato si no se ha interactuado con él (ni sale en token approvals en realidad). Lo único es que el airdrop sigue ahí, y tiene pinta de que no se puede quitar, al final es como si alguien te hiciera una transferencia. O la mandas por ahí donde sea o te la quedas. Saludos

  2. Hola, conecte el wallet a vera pero instantaneamente lo desconecte, ademas elimine el token del wallet metamask, puede pasarme algo? o estoy seguro?
    Saludos.

  3. Muy interesante.
    Si yo tengo en metamask una cuenta para los juegos, y otra en la misma wallet, pero solo para tokens seguros. Esta segura esa cuenta? O si esta en las misma wallet por mas que sea otra cuenta corre riesgos?

Dejar respuesta

Please enter your comment!
Please enter your name here

Artículos relacionados