Metamask saca una actualización anti-scams después de los varios reportes sobre hackeos. Una actualización de la MetaMask de Ethereum podría ser la respuesta a la seguridad de los monederos tras el aumento de la actividad de los “vaciadores de monederos”.
Los estafadores de las redes sociales se aprovechan de los despreocupados que firman su permiso sin saber a qué están permitiendo el acceso. Los ataques de los “vaciadores de carteras” están prosperando en el espacio de los NFT en este momento, contabilizando millones de dólares en activos perdidos de NFT y tokens. La mayor parte de los ataques se producen en Twitter y Discord.
MetaMask, el principal monedero de Ethereum, ha actualizado su interfaz para alertar a los usuarios de estos peligros. La actualización viene en forma de un paso extra para que los usuarios sean más conscientes de lo que están firmando antes de conectar su cartera a un contrato inteligente potencialmente dañino.
Lanzada como actualización 10.80.10 esta semana, los usuarios se beneficiarán ahora de un cambio en la forma en que el software presenta un permiso setApprovalForAll solicitado. Una vez concedido este permiso, el contrato inteligente puede acceder y transferir todos los NFT y tokens del monedero. Un contrato inteligente es un código que impulsa las NFT y las aplicaciones descentralizadas.
MetaMask presentó una vista previa de la actualización en la que se muestra un nuevo aviso que utiliza una fuente más grande que el resto de la interfaz. Este ejemplo tenía un texto que decía: “¿Dar permiso para acceder a todo tu BAYC?”, con una advertencia posterior que decía: “Al conceder el permiso, estás permitiendo que la siguiente cuenta acceda a tus fondos.” MetaMask publicó la vista previa en una serie de capturas de pantalla en su GitHub.
.@Metamask 10.18.0 is out ????
— Wallet Guard (@wallet_guard) July 27, 2022
This update includes the much-needed emphasis for when a transaction is requesting “Set Approval For All”
Kudos to the team for addressing this quickly pic.twitter.com/zWHVVPszzR
El ejemplo que utiliza el BAYC de Yuga Labs, o Bored Ape Yacht Club, es algo actual, ya que la popular colección vio cómo se perdían 200 ETH de NFT por este tipo de ataque a principios de verano. El ataque se produjo en Discord, el lugar donde un ataque casi idéntico ocurrió a Yuga Labs en abril de este año.
A principios de julio, la plataforma de entrega de NFTs Premint fue hackeada utilizando la función setApprovalForAll. El hackeo robó un montón de NFTs y tokens caros a los usuarios. Premint reembolsó 500.000 dólares en ETH a los afectados. También recompró y devolvió dos caros NFT de colección.
El hackeo y la pérdida de activos valiosos llevaron al fundador de Premint, Brenden Mulligan, a hacer un llamamiento para que se haga algo. “Hay que mejorar drásticamente la interfaz de usuario de los monederos más populares para que sea casi imposible que alguien se conecte con un vaciador de monederos”, dijo. “Este es un problema solucionable, pero es una locura que sea tan fácil drenar una cartera y que no haya más advertencias para proteger a la gente”.
Según la firma de seguridad Wallet Guard, la actualización de MetaMask deja claro que un contrato inteligente solicita permisos amplios y de gran alcance, incluyendo el acceso a los activos de la cartera. “Esta actualización incluye el énfasis tan necesario para cuando una transacción está solicitando ‘Establecer aprobación para todos'”, dijo Wallet Guard en un post de Twitter. “Felicitaciones al equipo por abordar esto rápidamente”, agregó el post.
Aunque la actualización es una mejora, no descifra si el contrato al que los usuarios intentan conectarse es una estafa o no. También hay usos legítimos para la función setApprovalForAll, como en el caso de ciertas dapps, lo que enreda aún más el asunto.
