No debería sorprender que los usuarios de criptomonedas sean blanco de una amplia variedad de estafadores, hackers y ladrones. Si bien algunos intentos pueden adoptar formas familiares como la suplantación de identidad o la desinformación, la naturaleza digital de las criptomonedas abre la puerta a enfoques novedosos. Esta página tiene como objetivo ayudarte a garantizar la seguridad de tus activos explicando una serie de estafas comunes y consideraciones de seguridad. Esta lista no pretende ser exhaustiva y se recomienda encarecidamente investigar más sobre el tema para proteger la seguridad de tu billetera.
Ten mucho cuidado al firmar transacciones al activar la delegación de cosecha. Una estafa conocida como “Sweeping�?ha dirigido activamente a los usuarios en el proceso de activar la delegación de cosecha, así que asegúrate de revisar cuidadosamente cualquier transacción que se te solicite firmar y verifica diligentemente si incluye transferencias de activos a direcciones desconocidas. Nunca firmes una transacción que no entiendas por completo.
Nunca compartas tu clave privada o frase mnemotécnica (también conocida como frase de recuperación o frase semilla) con nadie y nunca las ingreses en ningún sitio web o billetera potencialmente maliciosa. Cualquier persona con tu clave privada o frase mnemotécnica tiene acceso completo e ilimitado al contenido de tu billetera.
El Bitxor Syndicate nunca te enviará mensajes directos para brindarte soporte al cliente y nunca te pedirá tu clave privada o frase mnemotécnica.
Las transacciones en la cadena de bloques son irreversibles; no es factible deshacer una transacción o recuperar tus fondos una vez que se envían a una dirección maliciosa.
Asegúrate de almacenar de forma segura y sin conexión cualquier respaldo de tus claves privadas o frases mnemotécnicas para garantizar que nadie pueda acceder a ellas y comprometer tus cuentas.
Las transacciones agregadas pueden incluir una variedad de elementos como múltiples firmantes, mensajes y transferencias. Los nuevos usuarios de Bitxor pueden no estar familiarizados con la naturaleza compleja de las transacciones de enlace agregadas y deben tener mucho cuidado para comprender completamente el alcance total de cualquier transacción que se les pida firmar. Para obtener más información, consulta la Transacción Agregada.
“Sweeping�?implica un script malicioso que monitorea ciertos tipos de transacciones y luego inicia una transacción de enlace agregada maliciosa disfrazada para que parezca relacionada con la transacción objetivo (por ejemplo, incluyendo un mensaje relevante), pero que también incluye una transferencia de BXR u otros tokens a la billetera del actor malintencionado. Firmar estas transacciones puede vaciar por completo la billetera de un usuario, así que asegúrate de revisar cuidadosamente antes de firmar cualquier transacción que no hayas iniciado.
Es posible que no te des cuenta de inmediato de que has sido hackeado. El objetivo del “sweeping�?es que asumas que la transacción que firmaste formaba parte de un proceso que estabas completando, y también puedes suponer que tu saldo se redujo debido a una transacción bloqueada, a la activación pendiente de la cosecha delegada o que tu saldo se transfirió a una dirección de cosecha delegada vinculada a tu cuenta.
Comienzas la activación de la cosecha delegada propagando la transacción ‘Vincular todas las claves�?a la red.
El script del actor malintencionado detecta esta transacción y te envía una transacción de enlace agregada. Esta transacción puede incluir un mensaje relacionado con la cosecha, como “Delegado-�?34567�? y también una transferencia de BXR a una dirección controlada por el actor malintencionado.
Tu billetera ve la transacción de enlace agregada incluida en un bloque posterior y te solicita que la revises y firmes.
Elijes firmar la transacción y el saldo de tu BXR se reduce por el monto de la transacción (normalmente todo o casi todo tu BXR).
Cada billetera de Bitxor es diferente; algunas pueden no permitir a los usuarios firmar transacciones agregadas, otras pueden ocultar transacciones agregadas originadas desde direcciones fuera de una lista blanca predefinida (por ejemplo, sus contactos), y otras pueden solicitar a los usuarios su firma sin revelar el contenido completo de lo que están firmando. Revisar las transacciones agregadas utilizando el Explorador de Bitxor antes de firmarlas puede brindar seguridad adicional y tranquilidad. A continuación se muestra un ejemplo de una transacción agregada maliciosa que contiene un mensaje a una dirección de confianza en la primera transacción y una transferencia de activos a la dirección del estafador en la segunda transacción.
La suplantación implica ocultar o disfrazar la identidad para permitir actividades maliciosas, literalmente suplantando la identidad de la parte malintencionada para que parezca creíble y confiable.
Un ataque de suplantación de identidad (spoofing) apuntará a la clave privada o frase mnemotécnica (también conocida como frase de recuperación secreta o frase semilla), ya que esto se puede utilizar para restaurar tu billetera y proporcionará a un hacker acceso a tus claves privadas y al contenido de la billetera. Las billeteras de Bitxor son no custodiales, lo que significa que eres responsable de mantener seguras tus claves privadas y frase mnemotécnica.
Un ataque de suplantación de identidad podría seguir este patrón:
Haces una pregunta en Twitter o en el servidor de Discord de BXRCity.
Una cuenta maliciosa te identifica como objetivo debido a tu solicitud de soporte y te envía un mensaje directo (DM). La cuenta estará configurada para parecer un recurso de soporte oficial y podría incluir un logotipo relevante, un nombre de usuario convincente y un diálogo que suene profesional.
El actor malicioso se basará en tu creencia de que son un recurso de soporte oficial e intentará convencerte de que proporciones tu clave privada o frase mnemotécnica para resolver tu problema. Esto también podría implicar dirigirte a un sitio web que solicite estos detalles.
Si tienen éxito, el actor malicioso puede obtener acceso completo a tu dirección y transferir tus activos a una dirección de su elección.
Este escenario es solo un ejemplo, y eventos similares podrían ocurrir en cualquier plataforma de redes sociales, servicio de mensajería, foro o cualquier otro lugar donde compartas información públicamente.
El Bitxor Syndicate nunca te enviará mensajes directos para brindarte soporte al cliente, ni te pedirá tu clave privada o frase mnemotécnica. Cualquier persona que te solicite información de contacto, tu frase de recuperación secreta o detalles de tu problema de soporte fuera del canal de ayuda de Discord es un estafador potencial y debe ser ignorado y/o denunciado. Sé vigilante. Si parece que podría ser un engaño, probablemente lo sea. Siempre sé observador y mantente atento a señales sospechosas. Estas podrían incluir:
Solicitar información personal, como tu nombre, el valor de los activos de tu billetera o incluso tu clave privada, que nunca debes proporcionar bajo ninguna circunstancia.
Nombres de usuario de Twitter que parezcan no oficiales y utilicen guiones bajos, letras repetidas y números para imitar cuentas oficiales.
Detalles o nombres de usuario de Discord que parezcan oficiales (por ejemplo, SUPPORT_TEAM).
Proporcionar enlaces a sitios web que supuestamente “validan tu billetera�?o ayudan con la solución de problemas (excepto fuentes conocidas y confiables, como la documentación oficial de Bitxor o artículos escritos por miembros del Syndicate).
Solicitudes de ponerse en contacto para recibir soporte, enviar un mensaje directo, etc.
Lo más importante, nunca compartas tus claves privadas y frase mnemotécnica, sin importar cuán convincente pueda ser una persona o entidad.
Las direcciones de Bitxor no son fáciles de memorizar ni escribir manualmente, por lo que muchos usuarios utilizan el portapapeles de su dispositivo para copiar y pegar una dirección de Bitxor del destinatario. El hacking del portapapeles implica malware que intercepta el contenido de tu portapapeles y reemplaza una dirección que hayas copiado con una dirección perteneciente al hacker. Cuando intentas enviar una transacción y pegas la dirección desde tu portapapeles, se pega la dirección del hacker en lugar de la que copiaste inicialmente.
La única forma confiable de estar seguro es verificar las direcciones tres veces antes de confirmar cualquier transacción. Se recomienda encarecidamente utilizar un software antivirus robusto y actualizado, ya que debería identificar la mayoría de los programas maliciosos de hacking del portapapeles, notificarte y ponerlos en cuarentena antes de que puedan afectar tus actividades relacionadas con las criptomonedas.
Ten en cuenta que cualquier copia de tus claves privadas o frase mnemotécnica también puede otorgar a alguien acceso a tus cuentas. Asegúrate de que no puedan ser accedidas a través de un hackeo, robo o cuenta de almacenamiento en la nube comprometida.