Según BlockBeats, los hackers han explotado la sección de comentarios de una popular plataforma de mercado de predicciones para llevar a cabo un fraude de phishing y malware a gran escala, resultando en pérdidas de más de $500,000 para los usuarios.
Los atacantes supuestamente incrustaron enlaces ofuscados dentro de los hilos de comentarios, atrayendo a los usuarios a sitios web fraudulentos diseñados para imitar páginas de inicio de sesión legítimas. Cuando las víctimas intentaron iniciar sesión a través de correo electrónico, se implantó silenciosamente un script malicioso, comprometiendo las credenciales de los usuarios y los datos de la billetera.
Esta violación condujo tanto al robo de datos como a pérdidas financieras directas, destacando las vulnerabilidades en los sistemas de contenido generado por los usuarios en plataformas descentralizadas.
Los expertos en seguridad instan a las plataformas a sanitizar las entradas de los usuarios, bloquear enlaces externos en las secciones de comentarios, y a que los usuarios eviten hacer clic en URL desconocidas o iniciar sesión a través de mensajes no verificados.
Cómo funcionó la estafa (esquema técnico)
Los atacantes publicaron enlaces acortados/ofuscados en comentarios que parecían legítimos.
Los enlaces redirigieron a una página de phishing que solicitaba inicio de sesión por correo electrónico o inyectaba un script tras una interacción del usuario.
Si cree que fue afectado — pasos inmediatos (lista de verificación de víctimas)
Deje de interactuar con el sitio malicioso. No reingrese credenciales ni siga instrucciones de recuperación de páginas desconocidas.
Cambie las contraseñas de la cuenta afectada y de cualquier cuenta que reutilizara la misma contraseña. Utilice una contraseña única y fuerte.
Revocar aplicaciones/claves conectadas (aprobaciones de billetera, OAuth, claves API) de inmediato desde su perfil y desde UIs de billetera.
Mueva los fondos restantes a una billetera nueva (cree una nueva frase semilla/billetera de hardware) — haga esto solo después de asegurarse de que su dispositivo esté limpio.
Escanee su dispositivo en busca de malware (antivirus + anti-malware), y elimine extensiones de navegador sospechosas. Malwarebytes
Recoja evidencia: guarde capturas de pantalla, enlaces de comentarios, URL de estafas, IDs de transacción, marcas de tiempo y cualquier mensaje.
Informe: presente una queja ante su autoridad nacional de aplicación de la ley y, si está en o dirigido a usuarios de EE. UU., el portal IC3 del FBI (ic3.gov). Para fraude de criptomonedas, la orientación del FBI/IC3 es el camino recomendado.
Para el operador del mercado de predicción — mitigación y respuesta a incidentes
Lleve las secciones de comentarios fuera de línea o desactive los enlaces hasta que haya mitigado y auditado.
Bloquee / elimine comentarios maliciosos y las cuentas que publican; preserve los registros completos para la forensic.
Avisa a los usuarios de inmediato a través de un banner de correo electrónico y un aviso en el sitio: explique el vector de ataque, qué deben hacer los usuarios afectados (cambiar contraseñas, revocar aprobaciones) y cómo contactar con soporte.
Gire las credenciales de API y audite las integraciones de terceros (flujos de inicio de sesión por correo electrónico, proveedores de OAuth).
Escanee en busca de vectores de XSS / inyección de scripts en la renderización de comentarios; implemente una estricta sanitización de contenido y sanitización de enlaces (sin HTML en bruto; auto-nofollow; requiera que las vistas previas de los enlaces sean inspeccionadas).
Nunca haga clic en enlaces ofuscados/acortados en publicaciones de la comunidad a menos que pueda confirmar el objetivo.
Utilice billeteras de hardware para fondos en cadena y habilite la autenticación multifactor para cuentas.
Las plataformas deben sanitizar y renderizar el contenido del usuario como texto plano (sin HTML clicable), escanear las URL publicadas contra feeds de amenazas, y limitar la tasa de nuevas cuentas. Malwarebytes
Cómo reportar (enlaces y orientación)
Presentar una queja en el Centro de Quejas por Delitos de Internet del FBI (IC3) por fraude cripto/cibernético (ic3.gov) — IC3 proporciona orientación y recepción para estafas cripto. Centro de Quejas por Delitos de Internet+1
También informe a su policía local y, si es aplicable, al equipo de confianza y seguridad de la plataforma.
