Error de la empresa de seguridad Web3 expone a las víctimas de una explotación de $50m al agotamiento de la billetera

Las víctimas de la explotación del prestamista   DeFi de Radiant Capital se vieron aún más desorientadas cuando una empresa de seguridad compartió erróneamente un enlace a un drenador de billetera mientras intentaba ayudarlos.

El 17 de octubre, la startup de seguridad web3 Ancilia fue criticada por su negligencia después de redirigir a las víctimas del ataque a una cuenta X que se hacía pasar por el prestamista DeFi para engañar a los usuarios y hacer que visitaran un sitio malicioso diseñado para drenar los activos de los usuarios a través de phishing de aprobación.

Expertos en seguridad engañados

Ancilia fue la primera en informar sobre la explotación el 16 de octubre, que vio comprometidos los contratos inteligentes de Radiant Capital en BNB Chain y Arbitrum a través de la función ‘transferFrom’, lo que permitió a los atacantes vaciar más de $50 millones en activos, incluyendo USDC, WBNB y ETH.

Tras la violación, Radiant instó a los usuarios a revocar todas las aprobaciones utilizando Revoke.cash, una herramienta que permite a los usuarios desconectar sus billeteras de los posiblemente maliciosos contratos inteligentes, para evitar mayores pérdidas.

Este paso fue necesario porque los atacantes habían tomado el control de varias claves privadas, lo que les permitió controlar la billetera multi-firma del protocolo DeFi transfiriendo la propiedad.

Los estafadores de cripto aprovecharon la oportunidad, haciéndose pasar por Radiant Capital en X y empujando enlaces falsos disfrazados para imitar la plataforma Revoke.cash. Ancilia, sin darse cuenta del engaño, compartió accidentalmente la publicación falsa, mientras pedía a los usuarios que ‘seguir the link’, que llevaba directamente al agotador de la billetera.

Publicación eliminada de Ancilia que volvía a publicar a un impostor de Radiant Capital | Fuente: Spreek / Si las víctimas desafortunadas hubieran hecho clic y conectado sus billeteras, aprobando los permisos, sus fondos habrían sido sustraídos.

Los miembros atentos de la comunidad rápidamente señalaron el error de la empresa de seguridad y criticaron la negligencia de Ancilia como una “cuenta de seguridad ‘confiable’”. Posteriormente, Ancilia eliminó la publicación, emitió una disculpa y redirigió a los usuarios a la cuenta original de Radiant Capital.

La gravedad de estos fraudes se destaca por el hecho de que los actores malintencionados orquestan estas campañas de phishing de aprobación desde cuentas de X secuestradas que a menudo llevan la marca de verificación dorada, que está designada para organizaciones verificadas en la plataforma de redes sociales.

Luego, al modificar ligeramente el nombre y el identificador de la cuenta, los estafadores pueden engañar a los usuarios de web3. En este caso, cambiaron el nombre de la cuenta a “Radiarnt Capital” en lugar de “Radiant Capital” y modificaron el identificador a “@RDNTCapitail” en lugar de “@RDNTCapital”. Aunque estos cambios pueden parecer fáciles de detectar, muchos usuarios a menudo los pasan por alto a primera vista.

En el momento de escribir, varias instancias de la mencionada publicación de phishing todavía estaban activas bajo las publicaciones de Ancilia.

Estafas de suplantación

Suplantar proyectos genuinos para engañar a los inversores de criptomonedas se ha convertido en una de las herramientas más comunes para que los estafadores atraigan a las víctimas a plataformas de phishing.

A principios de este año, la empresa de ciberseguridad SlowMist advirtió que más del 80% de los comentarios en publicaciones de importantes proyectos de criptomonedas eran estafas. Mientras tanto, un informe de ScamSniffer señaló que esta táctica era el movimiento predilecto de los estafadores, causando millones de dólares en pérdidas para los inversores en criptomonedas en febrero.

Justo un día antes del reciente ataque, se vio a actores malintencionados ejecutar una campaña similar para engañar a los inversores de WLFI. Incluso los estafadores han apuntado a los usuarios de Revoke Cash haciéndose pasar por el servicio a principios de septiembre y promocionando un sitio malicioso utilizando anuncios de Google.

En noticias relacionadas, esta fue la segunda vez que Radiant Capital fue explotado este año. Los hackers pudieron escapar con $4.5 millones del protocolo en un ataque de flash loan en enero.