El criptofraude se ha convertido en la forma dominante de estafas de confianza basadas en Internet en los últimos tres años, como demostraron las estafas sha zhu pan (“matanza de cerdos”) que investigamos recientemente. Pero una variante ha crecido a un ritmo especialmente rápido: la falsa “minería de liquidez”. Sophos X-Ops también ha observado un crecimiento de los sitios de phishing de criptomonedas que se conectan a carteras de criptomonedas mientras se hacen pasar por marcas relacionadas con la criptomoneda en otros tipos de estafas, pero estos sitios suelen ser utilizados por los estafadores del sha zhu pan para separar a las víctimas de su dinero.
En medio de la investigación sobre una nueva oleada de estafas de minería de liquidez, se puso directamente en contacto con nosotros una víctima de EE.UU. que compartió con nosotros toda su experiencia tras perder 22.000 USD por una estafa de minería de liquidez. Al igual que con otras formas de estafa sha zhu pan que hemos visto recientemente, la víctima fue atraída inicialmente a una correspondencia coqueta con los actores que se ocultaban tras el perfil de una aplicación de citas, en este caso, en la aplicación MeetMe.
Los estafadores han seguido acosando a la víctima después de robarle sus criptomonedas, con la esperanza de que pudiera recuperar sus fondos depositando aún más criptomonedas en el esquema; incluso después de que bloqueara al estafador en WhatsApp, siguieron intentando ponerse en contacto con él a través de canales adicionales vinculados a su número de móvil y correo electrónico. Los estafadores también utilizaron IA generativa para crear mensajes enviados para restablecer la conexión con el objetivo.
Rastreando las direcciones de los monederos y la dirección web del conjunto de estafas, pudimos seguir la pista de la estafa más amplia, identificar la infraestructura relacionada y descubrir sitios de estafa adicionales que utilizaban el mismo “kit”. Encontramos 13 dominios adicionales que alojaban la misma aplicación financiera descentralizada falsa, dirigida a los usuarios de Trust Wallet. Estos sitios, durante un periodo de cinco meses, extrajeron criptomonedas por valor de 1,08 millones de dólares de los monederos de las víctimas, con un pico de actividad entre junio y agosto que supuso el 86% de ese total. También hemos identificado cientos de otros sitios de estafa que siguen la misma fórmula, obteniendo millones en criptomonedas robadas.
Estas estafas no requieren malware en el dispositivo del objetivo, ni “pirateo” de ningún tipo, salvo sitios web fraudulentos e ingeniería social: convencer a los objetivos para que conecten su monedero a un contrato inteligente de Ethereum que da permiso a los estafadores para vaciar el monedero. Como resultado, es extremadamente difícil evitar estas estafas mediante la protección del software. Los monederos y dominios fraudulentos se identifican y se ponen en la lista negra en cuanto se descubren, pero los estafadores pueden desplegar rápidamente nuevos sitios web y monederos y seguir robando las apuestas “sin riesgo” de los objetivos. Las criptomonedas robadas por estos estafadores rara vez se recuperan.
En este informe, nos centraremos en los detalles específicos del caso de esta víctima. Una continuación de este informe cubrirá otras estafas que hemos descubierto relacionadas con este caso, así como otras estafas similares y sus detalles técnicos.
Liquidez vs. Luz de gas
Las estafas de minería de liquidez aprovechan la complejidad de las aplicaciones de comercio de criptomonedas de finanzas descentralizadas (DeFi), como las bolsas descentralizadas (DEX) y los Creadores de Mercado Automatizados (AMM), para confundir y estafar. Estas estafas prometen ingresos regulares con altas tasas de rentabilidad por la inversión en un “fondo de liquidez” que presta criptodivisas para hacer posibles las operaciones basadas en contratos entre diferentes criptodivisas.
Los acuerdos de fondo de liquidez real permiten a las DEX y AAM gestionar operaciones entre varios tipos de criptomonedas sin tener que encontrar un comprador específico. El fondo toma prestadas criptomonedas de las carteras de aquellos que se han unido a corto plazo para facilitar la operación, y luego devuelve las criptomonedas cuando el fondo se reequilibra junto con un porcentaje de la comisión cobrada por la operación a los miembros del fondo, en función del tamaño de su participación. Esto es posible gracias a “contratos inteligentes” que vinculan las carteras de los miembros del fondo al “nodo” que aloja la aplicación. En teoría, independientemente de cómo vaya el comercio de criptomonedas, los participantes en la agrupación obtienen un beneficio, es decir, si el operador de la agrupación no rompe el contrato y se queda con todas las criptomonedas.
Para unirse a un fondo, el aspirante a miembro debe vincular su monedero al contrato, normalmente a través de una URL web abierta en la aplicación del monedero o con un navegador web con una extensión de monedero. Existe una tarifa de “gas” (un cargo que cobra la red blockchain de Ethereum para confirmar el contrato criptográfico), pero suele ser pequeña.
El contenido de los monederos vinculados a fondos de liquidez sigue estando a disposición de sus propietarios, y se puede retirar en cualquier momento para otros fines. Así que, para proporcionar cierta estabilidad al fondo, los operadores del fondo ofrecen recompensas adicionales por “apostar” fondos al fondo (esencialmente bloqueando la inversión en el fondo) a cambio de “tokens LP” (un token de blockchain añadido a su monedero que representa esa inversión), junto con otros incentivos financieros. Esos tokens LP pueden negociarse como otras criptomonedas, como acciones del fondo.
Los fondos falsos utilizan contratos inteligentes que dan a los estafadores acceso a las carteras de sus objetivos. Pueden depositar criptomonedas en los monederos para dar la ilusión de ganancias, o depositar criptomonedas falsificadas que tienen nombres engañosos y ningún valor inherente. Los sitios web utilizados para enlazar los monederos en estas estafas mostrarán datos que prometen pagos diarios, y que muestran las ganancias crecientes pero falsas a la víctima.
Finalmente, los estafadores “tiran de la manta”, sacando todo del monedero con los permisos que les concede el contrato y dejando a la víctima sin nada. A menudo se les dice que tienen que alcanzar determinados “objetivos” de apuesta para recuperar todos sus fondos, pero estos nunca se devolverán después de la extracción inicial; cualquier fondo adicional que se deposite en un monedero vinculado a una estafa también se obtendrá a través del mismo contrato.
La primera señal de alarma de las operaciones de estafa es que suelen seguir las mismas técnicas de captación de víctimas y tácticas de presión asociadas a las operaciones sha zhu pan. Las primeras estafas que encontramos utilizaban las redes sociales para acercarse a las víctimas potenciales, pero las más recientes han utilizado estratagemas románticas al estilo del sha zhu pan, mensajes SMS “mal dirigidos”, elaborados a propósito para iniciar conversaciones (“¿Vas a la fiesta de Liam? ¿Eres Sara?”), y otros métodos para mejorar su tasa de éxito y ampliar su grupo potencial de víctimas.
La persona que presenta la estafa instará en invertir más hasta el momento en que se vacíe la cartera, y luego alegará confusión y ofrecerá asesoramiento cuando desaparezca todo el cripto.
Como estas estafas utilizan aplicaciones legítimas de criptomonedas con gran reputación, y sus herramientas maliciosas se lanzan en el contexto de aplicaciones de confianza, tienen muchas más probabilidades de ganarse la confianza de las víctimas potenciales. Dado que manipulan el saldo de las carteras de los usuarios en lugar de limitarse a mostrar falsos beneficios en la pantalla de una falsa aplicación de comercio, es fácil creer que son lo que se anuncia, es decir, si no se tiene ni idea de cómo se supone que funciona la minería de liquidez. Y como los contratos utilizados por estas estafas dan un control total sobre el contenido de la cartera del objetivo, pueden llevarse todo lo ganado junto con los propios fondos del objetivo cuando quieran, y la víctima no tiene forma de impedirlo si no sabe cómo romper el contrato.
Sin embargo, esto puede ser un arma de doble filo: existe la posibilidad de que los objetivos que sepan cómo funcionan los contratos inteligentes rompan el contrato y huyan con los “beneficios” depositados en sus carteras, causando pérdidas moderadas a los estafadores. Sin embargo, el volumen de criptomonedas que estas estafas roban a las víctimas hace que ese tipo de riesgo sea un coste aceptable de hacer negocios para los estafadores.
Mal romance
En nuestro caso más reciente, como ya hemos señalado, se contactó con el objetivo a través de la aplicación MeetMe, anunciada como una aplicación para conocer gente (para citas o simple contacto social) geográficamente cercana al usuario. La inexistente “verificación” de MeetMe parece convertirla en una plataforma privilegiada para los estafadores, basándose en las opiniones de los usuarios, que se “verifican” subiendo una foto en la que aparezca su cara.
El objetivo, al que me referiré aquí como “Frank“, es un jubilado culto que vive cerca de Washington DC. Frank fue contactado a través de MeetMe por los estafadores, que se hicieron pasar por una joven alemana llamada “Vivian”, supuestamente residente en Washington por motivos de trabajo. Aunque afirmaba ser local, la persona utilizada en la cuenta primero se “trasladó” repentinamente a Ohio y luego de nuevo a Alemania en el transcurso de los cuatro meses que duró la interacción, evitando casi todos los intentos de hablar por voz o conocerse en persona.
A finales de marzo y poco después del contacto inicial, se animó a Frank a llevar la conversación a WhatsApp. El número de teléfono asociado a la cuenta de WhatsApp utilizada por “Vivian” era de un operador del Reino Unido, Telefónica UK (O2). Esta es una característica común de las estafas sha zhu pan; en los casos que he examinado, casi todas ellas utilizaban cuentas de WhatsApp o Telegram vinculadas a números de móvil del Reino Unido, independientemente de dónde dijeran estar, incluso cuando utilizaban números estadounidenses registrados a través de proveedores de Voz sobre IP para enviar los mensajes de texto iniciales.
A los tres días de conversación, “Vivian” empezó a presionar al objetivo para que “invirtiera” en un plan de liquidez: “Si ahora tienes mucho tiempo libre, puedo enseñarte a minar. Así también podrás utilizar tu tiempo libre para obtener algunos ingresos”. Frank expresó su inquietud por todo lo relacionado con la criptomoneda, y el estafador les aseguró que “no entrañaba riesgos”:
Vivian de Alemania en DC: la minería de moneda digital, como su nombre indica, es la minería de moneda digital líquida. Yo pongo mi dinero en mi monedero Trust y participo en las actividades mineras dentro de Trust, lo cual no tiene riesgos, como depositar en un banco, e incluso me siento más segura que en un banco, porque el monedero Trust es uno de los mayores monederos de criptomonedas del mundo. Simplemente cambio mi dinero por un USDT estable y lo pongo en mi propia cartera Trust, que me da un 2,5% diario. Ahora tengo 182.000 $ en mi monedero y la minería me aporta 4.550 $ al día, lo que supone una gestión del dinero sin riesgos, ¡así que obtengo un rendimiento estable todos los días!
Frank se resistió mucho a esta línea de conversación, ya que sentía aversión por todo lo relacionado con las criptomonedas. Los estafadores insistieron, diciendo a Frank que no había riesgo y que la criptomoneda que metiera en su cartera se quedaría allí. Finalmente, el 1 de mayo, más de un mes después del contacto inicial, consiguieron convencer a Frank de que instalara aplicaciones de monedero en su teléfono. Utilizando capturas de pantalla con anotaciones, le guiaron paso a paso por el proceso de instalación de las aplicaciones legítimas TrustWallet y Coinbase, ampliamente fiables y utilizadas:
Incluso después de recibir estas instrucciones, Frank se mostró reacio a seguir adelante y desvió la conversación hacia otros temas. Pero “Vivian” mencionó repetidamente que quería “enseñar” al objetivo a operar durante los días siguientes, mostrando capturas de pantalla de supuestos beneficios del plan de liquidez, que mostraban “ganancias” del fondo común (véase la figura 7). “Vivian” también envió una captura de pantalla de un “registro de retirada” que afirmaba mostrar miles de Tether (USDT) que se habían cosechado como beneficios: más de 88.000 dólares en tres semanas a finales de abril y principios de mayo, según la captura de pantalla.
A finales de mayo, tras semanas de interactuar con el objetivo, “Vivian” estaba a punto de convencerle de que se uniera al fondo falso y soltó otra explicación sobre la minería de liquidez para explicarle cómo funcionaba. Sin embargo, “Vivian de Alemania” dejó caer la explicación en el chat de WhatsApp en chino:
矿是将美元兑换成稳定的USDT放在自己的Trust钱包里,然后参与挖矿,产生固定收入,可以理解为固定利息收入,更何况你不需要做任何加密货币交易
El mensaje se traduce como:
La minería consiste en convertir dólares estadounidenses en USDT estables y ponerlos en tu propia cartera fiduciaria y luego participar en la minería para generar ingresos fijos, lo que puede entenderse como ingresos de interés fijo, sin mencionar que no necesitas hacer ninguna transacción de criptodivisas)
Frank cuestionó este inesperado uso del chino, pero siguió las instrucciones. Aceptó invertir 1.000 $, y luego aumentar una vez que se sintiera cómodo con las aplicaciones, comprando un depósito inicial de Tether (USDT) en Coinbase. “Vivian” le dijo que era tan seguro como dejar dinero en su banco. Pero Frank seguía expresando miedo a perder su dinero, resistiéndose a poner la criptomoneda en Trust Wallet, refiriéndose a las advertencias que había visto de su banco sobre que las criptomonedas no estaban cubiertas por el seguro de depósitos, y a las recientes quiebras bancarias:
Frank: Si pasa algo con tu dinero aquí, desaparece, ¿verdad?
Frank: La FDIC rescató las cuentas de ese banco.
Vivian de Alemania en DC: Imposible, ahora las criptodivisas son definitivamente más seguras que los bancos porque no hay dinero a disposición de nadie
Frank: Así que la mayoría de la gente no perdió dinero aunque el banco quebrara
Frank: ¿Quieres decir que no prestan dinero a la gente, lo que requiere que lo devuelvas?
Frank: Así que no pueden hundirse
Frank: El problema empieza cuando la gente no puede devolver el dinero que debe.
Vivian de Alemania en DC: Tu dinero está en el banco, el banco puede cogerlo y prestárselo a otros o utilizarlo para invertir, pero el dominio de tu USDT siempre estará solo en tus manos
Frank De acuerdo
Frank se mostró escéptico: ¿cómo iba a obtener algún beneficio si el cripto permanecía en su cartera? El estafador se lo explicó:
Vivian de Alemania en DC: Esta es la misma pregunta que yo me hacía antes de meterme en la minería, y tú tienes el mismo sentido común que yo. La minería de liquidez es una forma de ganar más monedas digitales conservándolas. Es un programa informático mágico que presta tu dinero a otros mediante “contratos inteligentes”. A cambio de tus servicios, ganas una comisión en forma de moneda digital Los mineros de la minería de liquidez utilizan una estrategia muy compleja. Tienen que ir moviendo criptomonedas entre distintos mercados de préstamo para maximizar las ganancias. También mantienen en secreto la mejor estrategia de minería de liquidez. ¿Por qué? Porque cuanta más gente conozca una estrategia concreta, menos eficaz será esa estrategia. La minería de liquidez puede verse como el salvaje oeste de las finanzas descentralizadas (DeFi), donde los agricultores solo tienen la oportunidad de cultivar las mejores cosechas compitiendo entre sí
Vivian de Alemania en DC: Sí, eso es un ingreso fijo de 400 $ al día para ti
Vivian de Alemania en DC: Mediante superordenadores para lograr todo el proceso de minería, el tiempo te permitirá aprender más poco a poco
Vivian de Alemania en DC: Tengo que admitir que la persona que inventó la criptodivisa es un genio, así que cada vez aprendo más
Con la seguridad de que esto no entrañaba ningún riesgo, Frank consintió finalmente a seguir adelante. “Vivian” siguió proporcionando “útiles” instrucciones paso a paso sobre cómo hacerlo, haciendo que Frank enviara capturas de pantalla y marcándolas con lo que debía pulsar a continuación.
Tras comprar los tokens Tether en Coinbase, Frank recibió instrucciones de transferirlos a TrustWallet. Y luego “Vivian” le dijo a Frank que abriera la URL (fraudulenta) del “fondo de minería” en el navegador de TrustWallet. Los estafadores enviaron a Frank suficiente Ethereum (por valor de unos 6 $) para pagar la “tasa de gas” por sellar el contrato en el monedero presentado por el sitio fraudulento.
El monedero que “prestó” a la víctima el Ethereum (ETH) necesario para pagar el “gas” del contrato (0x10f5DAf431Ee3F936F847623D7527A63d3ffA7a3) recibió la criptomoneda de la bolsa Binance, y había distribuido ETH a otras direcciones para crear contratos similares vinculados a otros fondos fraudulentos. (Los detalles al respecto se presentarán en un futuro informe de Sophos X-Ops).
En este punto, Frank cargó el sitio en Trust Wallet y utilizó el Ethereum que le habían enviado para completar la “unión al nodo”, creando un contrato inteligente que daba a los estafadores todos los detalles y acceso a Trust Wallet. Fue en este punto cuando la trampa de los estafadores estaba completamente tendida. La transacción del contrato concedía una “asignación” de 83.076.749.736.557.242.056.487.941.267.521.535 tokens para transferir al nodo de la falsa reserva (0x6B79f38233726282c7F88FE670F871eAbd0c746c), el máximo que podía establecer el contrato.
Lee la continuación de este artículo haciendo clic aquí.
Dejar un comentario