$538 millones robados por drainers: Carteras de ETH y SOL se unen con bloqueos de phishing en tiempo real

SEAL, la organización de seguridad sin fines de lucro que ha interrumpido operaciones de drainer de criptomonedas desde finales de 2023, lanzó una red de defensa contra phishing en tiempo real el 22 de octubre en asociación con MetaMask, WalletConnect, Backpack y Phantom.

La coalición implementa la tecnología Verifiable Phishing Reports, que permite a los usuarios enviar pruebas criptográficamente certificadas de sitios maliciosos, evitando así el cuello de botella de la revisión manual que permite a los drainers rotar su infraestructura más rápido de lo que los defensores pueden responder.

Según los informes de CertiK publicados a lo largo del año, aproximadamente 538 millones de dólares fueron robados mediante ataques de phishing hasta el 30 de septiembre. Esta estimación excluye el exploit de 1.4 billones de dólares contra Bybit en febrero.

La colaboración aborda un ciclo de escalada en el que los drainers se adaptaban a cada mitigación.

Cuando SEAL aceleró las actualizaciones de eth-phishing-detect, los operadores de drainer rotaban las páginas de destino con mayor frecuencia.

Cuando los proveedores de infraestructura bloquearon el alojamiento abusivo, los drainers migraron a servicios offshore bulletproof. Cuando SEAL implementó el escaneo automatizado a través de su Phishing Bot, los drainers desplegaron técnicas de cloaking y anti-fingerprinting para evadir la detección.

El resultado fue una carrera armamentista inclinada hacia los atacantes, quienes mantenían la iniciativa mientras los defensores luchaban por validar los reportes a escala.

Verifiable Phishing Reporter cambia el modelo de interacción. Los usuarios envían reportes que contienen el contenido exacto servido por un sitio sospechoso de phishing, acompañado de una atestación TLS que prueba que el contenido no fue falsificado.

SEAL procesa estas presentaciones en tiempo real sin triaje manual, eludiendo técnicas de cloaking que ocultan cargas maliciosas de los escáneres automatizados.

La coalición canaliza los reportes validados a un sistema de detección de extremo a extremo que bloquea dominios de phishing e interacciones de contratos riesgosos en las wallets participantes, convirtiendo la inteligencia localizada en protección a nivel de red.

Ohm Shah, investigador de seguridad en MetaMask, declaró:

“Los drainers son un juego constante del gato y el ratón como la mayoría de la seguridad, trabajar junto a SEAL y sus investigadores independientes permite a equipos de wallets como MetaMask ser más ágiles y aplicar la investigación de SEAL en la práctica, efectivamente poniendo trabas a la infraestructura de los drainers.”

Derek Rein, CTO de WalletConnect, agregó que la asociación amplía las protecciones para las wallets WalletConnect Certified, que ya advierten a los usuarios sobre sitios fraudulentos conocidos.

Armani Ferrante, CEO de Backpack, enmarcó la integración como parte de la misión de la wallet de hacer que la propiedad de activos digitales sea más segura, mientras que Kim Persson, ingeniero senior en Phantom, enfatizó que la seguridad de los dominios y la protección del usuario siguen siendo prioridades centrales.

Midiendo el éxito

La efectividad de la red podría descansar sobre tres pilares: menos usuarios perdiendo fondos, neutralización de amenazas más rápida y detecciones de alta calidad medidas en comparación con una línea base previa al lanzamiento y un control emparejado.

La métrica principal es la tasa de pérdida por usuario activo, como las pérdidas denominadas en dólares por phishing por cada 1,000 wallets activas mensuales, que pueden estimarse a partir de clusters de drainers on-chain, auto-reportes de víctimas y telemetría de wallets.

La velocidad define el segundo nivel de medición. El tiempo de protección rastrea la duración mediana y el percentil 95 desde el primer Verifiable Phishing Report hasta una advertencia o bloqueo en la wallet.

El tiempo de neutralización mide por separado los vectores web, desde los reportes hasta la propagación en la lista negra y la eliminación del sitio, y los vectores on-chain, donde los reportes desencadenan la interceptación de contratos o direcciones riesgosas.

Reducciones sostenidas en estos intervalos deberían correlacionarse con menores pérdidas realizadas.

La cobertura y la calidad forman el tercer pilar. El recall captura la proporción de dominios y direcciones de phishing conocidas marcadas antes de la primera transacción victimizada, validada contra fuentes independientes e investigaciones posteriores al incidente.

La precisión se mide como uno menos la tasa de falsos positivos, confirmada a través de atestaciones TLS limpias posteriores y apelaciones de usuarios.

Controles de calidad adicionales incluyen la fracción de acciones de la red respaldadas por atestaciones TLS válidas, tasas de deduplicación entre reporteros y la vida media del dominio después de la primera atestación.

Las métricas de comportamiento mostrarían si las protecciones alteran las acciones de los usuarios. La tasa de desvío divide el número de advertencias que llevan al abandono de acciones riesgosas por el número total de advertencias mostradas, mientras que la tasa de bloqueos cuenta las transacciones detenidas completamente.

La organización invita a más wallets a unirse a la red y anima a investigadores de seguridad y usuarios a contribuir a través del cliente Verifiable Phishing Reporter disponible en su sitio.

El artículo $538M stolen by drainers: ETH & SOL wallets unite with real-time phishing blocks apareció primero en CryptoSlate.