La investigación ha sido aceptada en SIGMETRICS 2025, una conferencia de informática de primer nivel, y hemos publicado nuestro conjunto de datos como código abierto en https://github.com/blocksecteam/phishing_contract_sigmetrics25.
Desde el surgimiento de las Finanzas Descentralizadas (DeFi), el espacio blockchain ha atraído una inversión significativa de capital y usuarios. Sin embargo, este crecimiento ha venido acompañado de un aumento en los ataques de phishing, lo que ha generado pérdidas sustanciales para los usuarios. Para evitar la detección, los estafadores ya no dependen únicamente de las Cuentas de Propiedad Externa (EOAs). En cambio, han migrado hacia el despliegue de contratos inteligentes. En este artículo, presentamos nuestra investigación más reciente sobre los contratos de phishing y demostramos cómo nuestra inteligencia de phishing oportuna, integral y precisa ayuda a los proyectos cripto a proteger los fondos de los usuarios y mantener el cumplimiento normativo, reforzando la seguridad general de la blockchain.
La Evolución del Phishing: De las EOAs a los Contratos Inteligentes Maliciosos
Tradicionalmente, los estafadores atraían a los usuarios para que firmaran transacciones que enviaban ETH o tokens directamente a sus EOAs. Pero esa táctica se ha vuelto fácil de detectar: billeteras como MetaMask y Coinbase ahora advierten a los usuarios sobre el envío de fondos a EOAs maliciosas conocidas. Esta mayor concienciación ha impulsado a los atacantes a innovar, lo que ha llevado a la proliferación de contratos de phishing.
En respuesta, los estafadores ahora utilizan contratos de phishing para imitar el comportamiento de proyectos legítimos y ofuscar sus intenciones. En lugar de transferir activos directamente a la EOA de un atacante, las víctimas son engañadas para que firmen transacciones que interactúan con contratos maliciosos, cediendo efectivamente el control de sus tokens sin darse cuenta. Este nuevo vector representa un desafío significativo para la seguridad en DeFi.
Estos contratos de phishing suelen contener:
- Funciones pagables engañosas: Con nombres como
ClaimoSecurityUpdate, estas funciones engañan a los usuarios para que envíen ETH directamente al contrato del atacante. - Funciones multicall: Diseñadas para agrupar múltiples transferencias de tokens en una sola transacción, ideales para vaciar tokens ERC20 o NFTs después de que un usuario otorgue una aprobación sin saberlo. Esta es una táctica común en las estafas cripto.
Investigación de BlockSec: Detección y Análisis de Contratos de Phishing
Este estudio se centra en los contratos de phishing en Ethereum. Para habilitar la detección de contratos de phishing a gran escala, hemos diseñado un sistema que extrae selectores de funciones sospechosas del bytecode de los contratos, simula transacciones y analiza los resultados. Usando este enfoque, identificamos 37,654 contratos de phishing desplegados entre el 29 de diciembre de 2022 y el 1 de enero de 2025. Este extenso conjunto de datos es crucial para comprender el panorama de las amenazas a la seguridad de los contratos inteligentes.
El Impacto Financiero: Distribución de las Pérdidas de los Usuarios
Los contratos de phishing han generado pérdidas sustanciales para los usuarios. Desde el 29 de diciembre de 2022 hasta el 8 de enero de 2025, descubrimos 211,319 transacciones de phishing que afectaron a 171,984 víctimas, con pérdidas totales que alcanzaron los $190.7 millones. Cabe destacar que el 89.9% de las víctimas perdió menos de $1,000. Muchos usuarios cayeron en esquemas de phishing múltiples veces, frecuentemente debido a aprobaciones de tokens no revocadas o a la firma repetida de transacciones maliciosas. Entre ellos, los usuarios de Web3 con menos experiencia son especialmente vulnerables a estas estafas cripto.
Comprendiendo a los Atacantes: Distribución de Contratos de Phishing y Desplegadores
La mayoría de los contratos de phishing (86.5%) tienen tanto funciones pagables "vacías" como funciones multicall para apuntar a varios tipos de tokens. El 70.9% de ellos generó menos de $1,000, y el 96.2% permaneció activo durante menos de un día. Los estafadores despliegan rápidamente nuevos contratos para eludir los mecanismos de etiquetado de cuentas, lo que resalta la necesidad de inteligencia de amenazas en tiempo real.
Nuestra investigación reveló además información crítica sobre los propios atacantes. Nueve cuentas despliegan el 91.1% de todos los contratos de phishing. Los estafadores frecuentemente utilizan tokens robados a las víctimas para financiar el despliegue de nuevos contratos de phishing. Cabe destacar que ocho de estos nueve principales desplegadores muestran conexiones en el flujo de fondos, lo que sugiere que operan como un grupo de phishing coordinado. En conjunto, han desplegado el 85.7% de todos los contratos de phishing, lo que indica una empresa criminal altamente organizada detrás de muchos de estos incidentes de seguridad en blockchain.
Estrategias de Mitigación: Defensa Contra los Contratos de Phishing
Nuestro trabajo revela la amplia prevalencia de los contratos de phishing en Ethereum y las pérdidas significativas que han causado a los usuarios. Por ello, proponemos estrategias prácticas y efectivas para proteger a los usuarios de estas amenazas y mejorar la seguridad general de la blockchain.
Lo Que los Usuarios Pueden Hacer para Protegerse
Desde la perspectiva del usuario, la vigilancia es clave para prevenir las estafas cripto. Al acceder a una aplicación descentralizada y solicitar servicios, los usuarios deben inspeccionar detenidamente el sitio web, incluida la URL, la página principal, los subenlaces, y los enlaces de Twitter y Discord. Antes de firmar una transacción, los usuarios deben revisar cuidadosamente los detalles de la transacción, incluida la cuenta y los parámetros de llamada a la función. Además, pueden verificar la etiqueta de la dirección en Etherscan para determinar si se trata de una cuenta oficial. Siempre desconfíe de ofertas no solicitadas o solicitudes de aprobación.
Lo Que los Proveedores de Servicios Pueden Hacer: Aprovechar la Inteligencia de Amenazas Avanzada
Los proveedores de servicios, incluidos los CEX, DEX, billeteras, plataformas PayFi, stablecoins y puentes, deben mantener y actualizar activamente listas de sitios web y cuentas de phishing para proteger a los usuarios de posibles amenazas. Cuando se identifica que ciertas cuentas despliegan contratos de phishing en sus plataformas, estos proveedores deben restringir o denegar el acceso a sus servicios. Sin embargo, el anonimato inherente de las blockchains y la complejidad de las interacciones on-chain, especialmente en actividades cross-chain, representan desafíos significativos para las instituciones a la hora de realizar evaluaciones de riesgo efectivas y garantizar la seguridad en DeFi.
Para abordar estos desafíos, BlockSec ha integrado los hallazgos de esta investigación en la APP Phalcon Compliance. Esta plataforma aprovecha una base de datos masiva y en tiempo real con más de 400 millones de etiquetas de direcciones, rastreo ilimitado de saltos de transacciones y un motor de análisis de comportamiento impulsado por IA. Con estas capacidades, la APP permite a las instituciones identificar rápidamente direcciones de phishing y entidades sospechosas que interactúan con ellas, proporcionando análisis forense crítico on-chain.
Más allá de las direcciones de phishing, la APP Phalcon Compliance también detecta otras entidades de riesgo, como atacantes, entidades sancionadas, mezcladores, lavadores de dinero y dark webs, así como comportamientos sospechosos como transferencias de alta frecuencia, transferencias de grandes montos y direcciones de tránsito. Cuando se detectan actividades ilegales, la APP notifica de inmediato a las instituciones a través de siete canales diferentes, garantizando que puedan responder de inmediato. Además, la APP ofrece una variedad de funciones, que incluyen delegación de tareas, adición de comentarios, inclusión en listas negras y generación con un solo clic de Reportes de Transacciones Sospechosas (STRs). En conjunto, estas herramientas proporcionan una solución integral para identificar y mitigar riesgos, a la vez que simplifican los flujos de trabajo de cumplimiento y refuerzan la seguridad en Web3.
