Microsoft advirtió sobre las amenazas emergentes en el panorama Web3, incluyendo las campañas de «phishing de hielo», ya que el aumento en la adopción de las tecnologías blockchain y DeFi enfatiza la necesidad de incorporar seguridad en la web descentralizada mientras aún se encuentra en sus primeras etapas.
El equipo de investigación de Microsoft 365 Defender de la compañía, mencionó vías nuevas a través de las cuales los atacantes pueden intentar engañar a los usuarios de criptomonedas para que entreguen sus claves criptográficas privadas y realicen transferencias de fondos no autorizadas.
El robo de las claves podría llevarse a cabo de distintas formas, incluyendo la suplantación del software de la billetera, la implementación de malware en los dispositivos de las víctimas, la falsificación de las interfaces de los contratos inteligentes legítimos y la acuñación de tokens digitales no autorizados para las estafas Airdrop.
Otra técnica involucra lo que Microsoft llama «phishing de hielo». En lugar de robar las claves privadas de un usuario, el método funciona engañando al objetivo para que «firme una transacción que delega la aprobación de los tokens del usuario al atacante».
El hackeo de alto perfil de la plataforma DeFi BadgerDAO, que salió a la luz a inicios de diciembre de 2021, fue uno de esos casos de phishing de hielo, en el que un fragmento inyectado maliciosamente utilizando una clave API comprometida permitió al atacante desviar 121 millones de dólares en fondos.
La secuencia de comandos se programó de tal forma que interceptaría las transacciones Web3 de las billeteras con un saldo determinado e insertaría una solicitud para transferir los tokens de la víctima a una dirección elegida por los atacantes.
Para mitigar las amenazas que afectan a la tecnología blockchain, Microsoft recomienda a los usuarios que revisen y auditen los contratos inteligentes para obtener una respuesta adecuada a los incidentes o capacidades de emergencia y que reevalúen y revoquen periódicamente las asignaciones de tokens.