Hombre pierde $ 651,000 en estafa de iPhone, acusa Metamask

Un usuario de Twitter bajo el alias «Domenic Iacovone» compartió detalles de cómo una simple estafa vishing lo llevó a la pérdida de sus NFT. Iacovone ahora ha hecho repetidas acusaciones contra MetaMask y ConsenSys en las últimas 24 horas.

El 15 de abril, surgió una vulnerabilidad de seguridad de MetaMask cuando un inversionista de criptomonedas presentó una queja Gorjeo. Dijo que perdió más de medio millón de libras después de una llamada telefónica de un número identificado como «Apple». Esto era, por supuesto, un identificador de llamadas falsificado. Domenic dice que los atacantes solicitaron un código enviado de inmediato a su teléfono. 2 segundos después; toda su cartera MetaMask ha dejado de existir.

Los valiosos tokens no fungibles de Domenic Iacovone estaban en la billetera explotada. Mencionó lo siguiente:

MAYC 28478, MAYC 8952, MAYC 7536, Gutter cat 2280, 2769, 2325 y 100k en moneda mono.

Declaración MetaMask de Domenic

Lo que comenzó como una solicitud de ayuda reveló una posible falla de seguridad en MetaMask. Cuando los nuevos usuarios abren una billetera, MetaMask les asigna una frase semilla altamente confidencial que debe ser privada. Las frases semilla son útiles en el caso de un reinicio de billetera o un cambio de dispositivo. Desconocido para la mayoría de los usuarios de Apple, iCloud también realiza automáticamente una copia de seguridad de las frases iniciales cifradas. Como resultado, el acceso no autorizado a su iCloud aumenta el riesgo de que su frase semilla sea descubierta y robada. La víctima del fraude desconocía este enfoque.

Domenico Iacovone es configurando para abordar un caso con MetaMask. Sin embargo, MetaMask nunca proporcionó una respuesta directa a los tuits. En cambio, emitieron un procedimiento paso a paso para desactivar la copia de seguridad de iCloud para datos en la nube 2 días después. Su tuiteó:

Si quieres evitar que iCloud te sorprenda con copias de seguridad no solicitadas en el futuro, puedes desactivar esta función en Ajustes > ID de Apple/iCloud > Copia de seguridad de iCloud».

Puede deshabilitar las copias de seguridad de iCloud para MetaMask específicamente apagando la palanca aquí:
Configuración> Perfil> iCloud> Administrar almacenamiento> Copia de seguridad.
2/3

– MetaMask 🦊💙 (@MetaMask) 17 de abril de 2022

La falta de respuesta de Metamask a la estafa es un poco preocupante, según algunas de sus respuestas, ya que parece que el equipo está evadiendo la responsabilidad. ConsenSys, una empresa de software de cadena de bloques de Ethereum, también es blanco de la furia de Domenic. Domenic expresó su enojo al agregar:

No nos digas que nunca memoricemos nuestra oración semilla digitalmente y luego lo hagamos a nuestras espaldas. Si el 90 por ciento de las personas lo supiera, apuesto a que ninguno de ellos tendría la aplicación o iCloud activados».

tenemos que mantener @ConsenSys Y @MetaMask responsable de esto. https://t.co/k1GzY2EIRp

– Domenico Iacovone (@revive_dom) 19 de abril de 2022

Susceptibilidad y mala vigilancia.

Varios usuarios de Twitter han ridiculizado la naturaleza de la estafa. Sin embargo, según el Informe de Tendencias de Amenazas a la Seguridad Cibernética 2021 de Cisco, más de 240.000 personas son víctimas de ataques similares. La poca conciencia de seguridad y la complacencia en la lectura de las políticas de la empresa probablemente sean factores que contribuyan a estos eventos. La ignorancia de la víctima compensa la ausencia de su refinamiento. Para alguien con una comprensión tan grande de los recursos, muchos sienten que Domenic debería haber estado más alerta.

¿Cuál es el camino a seguir?

Domenic Iacovone instituyó una recompensa de $ 100,000 por la recuperación de los fondos robados. Los usuarios de Domenic y Twiiter también etiquetaron a OpenSea para denunciar NFT robados. OpenSea cuenta con dos importantes medidas de seguridad para combatir los casos de robo. El primero es aislar la cuenta comprometida y bloquear los NFT robados para simplificar los rastros forenses. El bloqueo de NFT es sensible al tiempo, ya que solo es efectivo antes de que el pirata informático lo venda a otro comprador desprevenido.

La mayoría de los NFT robados probablemente se hayan ido para siempre. El único caso reciente de NFT recuperados ocurrió en febrero. Mintable decidió devolver algunos tokens comprados sin saber que se los habían robado a sus dueños originales. Se pierde más de un millón de dólares en NFT de ese exploit. Sin embargo, con numerosas publicaciones y un programa Canal 5 entrevista, Domenic no parece dispuesto a rendirse.

Los hacks de MetaMask no son imposibles

Que atacantes maliciosos accedan a diferentes monederos de Metamask no es nada nuevo. Hay clones de la aplicación Metamask y múltiples extensiones falsas del navegador MetaMask en Internet. La prevalencia de los enlaces aéreos y los sitios criptográficos engañosos atrapa incluso a los novatos sin conocimientos de seguridad. La autenticación de dos factores que suelen utilizar los intercambios no se aplica a MetaMask debido a su naturaleza descentralizada. Dado que es una billetera caliente, es probable que no sea cien por ciento segura.

Para mitigar el riesgo de ataques, se recomienda a los usuarios que no almacenen grandes sumas en sus carteras. El mismo Metamask aconseja a los usuarios que obtengan una billetera de hardware una vez que tengan fondos suficientes. Si bien también se recomienda a los usuarios de Apple que deshabiliten la copia de seguridad de iCloud de los datos de la aplicación, también es necesario reiterar los principios básicos de seguridad. Por ejemplo, los usuarios deben mantener las contraseñas de un solo uso (OTP), los códigos de autenticación, etc., fuera del alcance de terceros.

Los piratas informáticos trabajan duro para desarrollar formas ingeniosas de atacar cada segundo. El mundo de las criptomonedas enfatiza la capacidad de los usuarios de DYOR (Do Your Own Research). El usuario es responsable de estar lo suficientemente seguro para evitar ataques de ingeniería social.