Semana 12 Mes 3 Año 2023
Pierde 100 bitcoins por no apuntar nada, les roban por confiados, NFTs en museos de Paris y Miami?, No prohíben las wallets privadas , bye bye al staking de Ethereum y otro tipo de robo en Metamask.
Crypto 101 es un espacio dedicado a la educación y formación en criptomonedas y su tecnología. Dejando de lado los precios nos centramos en como funcionan las cosas, curiosidades del sistema, noticias interesantes y sobre todo en aspectos de seguridad.
Aspectos como adopción, regulación, fiscalidad, tecnología, robos, errores, y de nuevo seguridad son recopilados aquí y remitidos por correo todos los lunes a las 09:05 AM GMT +2
Esta es una newsletter gratuita y son muy agradecidos los ❤️ y muy contestados los comentarios .
Hace solo unos días publiqué la review de una Hardware Wallet muy especial, y te diré lo malo para que vayas y busques lo bueno: La clave privada va generada en dicha wallet. ¿Quieres saber más? ¿Y si te digo que no es tan poco segura como estás pensando? Descubre la primera wallet con BIP38.
Lo que le está costando no apuntar bien las cosas
Pues 100 bitcoins (a lo que valgan hoy) es lo que le está costando a Conspiraycubed, un Tik Toker no haber apuntado bien las cosas. Te cuento. El tio compra 100 bitcoins en 2010 y guarda los datos de la wallet en su cuenta de hotmail.
Cuando se acuerda que los tiene, decide entrar y por alguna razón alguien ha intentado entrar a su cuenta de correo, así que le han reseteado la contraseña, le están mandando un SMS a un móvil que no tiene y tampoco de acuerda de la pregunta de seguridad. Es curioso, porque conoce el password, pero no puede entrar.
Como el dice, su foto está en la foto de perfil de esa cuenta de correo, tiene correos escritos con su novia, con la que aún está. Sabe el numero de teléfono dónde se envía la información, pero no está bajo su control.
Actualmente se encuentra buscando ayuda legal para probar su identidad y tener acceso a su cuenta de correo y entonces, a sus 100 bitcoin. Así que como comentamos siempre, guarda las cosas bien, y aquí te dimos una herramienta, o al menos si no lo compras, quédate con la idea.
Roban 4 millones de Trust Wallet y más
Siempre hacemos mención a Metamask, aunque Trust Wallet es también una buena opción. Bueno, hoy no. En una historia que el usuario de Twitter @0xngmi ha escrito en este documento Google Docs vemos que la empresa de este chico Webaverse fueron atacados por un grupo de scammers de una forma muy sofisticada, jugando con ingeniería social hasta el punto de quedar físicamente (IRL) en Roma.
Al parecer o unos eran muy listos o unos eran muy tontos les hicieron mover unos 4 millones de dólares a una cartera bajo el control de los scammers. El objetivo era un “Proof of Funds”. Sin tener muy claro como ocurrió al parecer el scammer le pidió ver el saldo de la cuenta, tras comprobarlo salió a hacer una llamada y desapareció. Minutos después se ejecutó esta transacción y 4 millones de dólares en USDC dejó la wallet.
Algo parecido le pasó a otro usuario, esta vez con menos dolor, dónde solo le quitaron unos 90.000$. De nuevo la forma en que desaparecieron sus fondos no está clara y se relaciona con un “dejame ver el saldo de tu wallet”.
En ambos casos estaban usando una software wallet y tuvieron un exceso de confianza con un grupo de personas que simplemente mostraron interés en hacer una inversión en sus respectivos proyectos.
Donaciones de NFTs by Yuga Labs
Yuga Labs es la empresa que gestiona todo lo relativo a los BAYC, MAYC y también los CryptoPunks y alguno más que ya nos da igual. Pues bien, aunque si quieres ver alguna de estas obras pues podrías ir directamente sus webs (BAYC, MAYC, CryptoPunks) resulta que ahora estarán mucho más accesibles (bueno en realidad menos) para todo el mundo.
Podrás encontrar el CryptoPunk 305 en el Instituto de Arte Contemporáneo de Miami. Si no quieres intentar buscarlo por ti mismo ya te lo pongo yo aquí:
Y podrás encontrar el CryptoPunk 110 en la colección del Centro Pompidou, situado en París. Aquí tenéis un artículo que el centro dedica a los NFTs. Y aquí la obra:
Así que si acudís a alguno de estos museos de Arte Contemporáneo podréis disfrutar de estos maravillosos artículos de lujo. Más información aquí.
No nos quedaremos sin Wallets/Monederos privados (por el momento)
Un nuevo borrador de las próximas leyes que van a regular la tenencia de criptoactivos y que actualmente se está debatiendo en el Parlamento Europeo ha descartado la prohibición de Wallets privadas.
Aunque esto podría ser temporal si que se esta intentando limpiar el importe máximo a transferir a y desde ellas.
La TFR (Transfer of funds regulation) parece que será votada el 28 de Marzo y pasaría al Parlamento Europeo durante el mes de Abril.
En esta regulación no se estarían regulando ni las DAOs, ni los NFTs ni las finanzas descentralizadas (DEFI). Hablamos de la MiCA hace unos meses, pásate a leer.
Algo rápido: No harás staking de Ethereum en Kraken
La SEC (The Securities and Exchange Commission) ha multado con 30 millones de dólares a Kraken por no haber registrado correctamente la oferta y venta de su servicio de staking (desarrollado completamente en su Exchange).
Les obligan además a suspender de forma inmediata el servicio y dejar de ofrecer esas rentabilidades. La Nota de Prensa de la SEC la tienes aquí, pero si quieres más información te mando con Cri, que lo explica muy bien y es tontería que yo dedique tiempo a algo que ella ya ha hecho muy bien.
Al parecer esto podría incrementar la descentralización de los servicios de staking de Ethereum, cosa que está bien pero puede suponer una barrera de entrada para mucha gente. Si quieres saber más del staking de Ethereum pásate por la web oficial.
Un ataque que no te va a gustar (y yo la he sufrido)
El ataque consistiría en una vez tu ejecutas una transacción, el atacante realiza una transacción muy similar, como si la hubiéramos hecho nosotros. Básicamente ejecutan una transacción con valor cero, desde nuestra dirección. Intento explicarlo:
Tu puedes emitir una transacción siempre, pero solamente si eres el legitimo propietario de la dirección que emite la transacción. Pero si no lo eres también puedes emitirla, lo que pasa es que no serás el propietario y no podrás mover los fondos. Pero esta transacción queda registrada en la lista de tus direcciones. Eso si, apunto: Así no te pueden robar.
Sin embargo el truco es que usando una Vanity Address (que es una dirección personalizada de Ethereum) el scammer intentará que nos confundamos de dirección si en algún momento queremos repetir la primera transacción legitima.
Es decir, su transacción se ejecuta desde nuestra dirección a una dirección muy similar a la que usamos nosotros originariamente y si en un futuro quiero repetir la transacción podría llegar a coger la dirección incorrecta que se parece muy mucho a la que yo envié.
Una dirección Vanity puede ser generada en la web Vanity-eth.tk. Dependiendo de la capacidad de nuestro ordenador y de la longitud buscada tardará más o menos. Por ejemplo yo estoy pdiendole que me de la clave privada de una dirección que empiece por 5c936f0be para que alguien ha usado una dirección similar me envíe los fondos a mi:
Lo que pasa es que estas cosas pues tardan. A más caracteres más se tarda.
Los consejos para evitar esto:
Verifica bien siempre la dirección donde envias tus fondos. Deberías comprobar todos los caracteres, cosa que no hacemos.
No copies las direcciones de tus ultimas transacciones, ya que puede que ya hayas sufrido este ataque y no te hayas dado cuenta.
Siempre es mejor usar un Hardware Wallet, ya que la dirección se te mostrará en pantalla de forma completa.
Si tu Hardware Wallet lo tiene, procura usar una Libreta de Direcciones con tus direcciones frecuentes, pero no dejes de comprobarlas.
Si los importes son muy elevados procura usar transacciones de test dónde envias una cantidad pequeña, una vez confirmes la recepción, repite con toda la cantidad.
Más información en la web de Metamask y aquí tenéis un video de alguien a quien le robaron unos $25.000 usando este método. Lo curioso es que en este caso estaba usando un Ledger y la complicación es que mientras en Etherscan las direcciones con valor 0 se ven atenuadas, en Ledger Live no, y eso impide detectarlas mejor.
Y con este último robo nos vamos esta semana. Mantente seguro y comparte esta newsletter con alguien que creas que no lo está correctamente.
Saludos!
Gracias!!