El valor de los TNF (Tokens no fungibles) no ha dejado de aumentar a lo largo del último año, hasta el punto que ciertos proyectos han alcanzado la calificación bursátil de blue chip con la que los expertos catalogan las valoraciones altas y relativamente estables. Pero a medida que el valor de los activos se consolida también despierta el interés de los criminales. En agosto de este año dos hackers haciéndose pasar por empleados de OpenSea (una de las principales marketplaces de TNF) consiguieron engañar a un usuario para que compartiera su pantalla y lograron vaciar la billetera digital donde estaban alojadas sus adquisiciones, valoradas en más de 400.000 euros.
En el mundo de los TNF el término ‘estafa’ abarca muchos aspectos: puede referirse a falsos proyectos de supuestos artistas que reciben dinero mediante publicidad engañosa (un timo conocido como rug pull o tirón de la alfombra). O bien a reclamos de falsos regalos de TNF en Twitter, que acumulan retweets y seguidores (normalmente bots) para crear la ilusión de legitimidad. Pero también puede tratarse de enlaces maliciosos o técnicas de ingeniería social que manipulan al usuario para que entregue su clave privada.
De hecho, entre los propietarios de TNF hasta ahora ha imperado una cultura de comunidad por lo que son precisamente las estafas de carácter social las que más atraen a los criminales; los ataques dependen de engaños para ganarse la confianza de la víctima y explotan el hecho de que el espacio TNF es un grupo bastante cerrado. Por otro lado, las transacciones son irreversibles por diseño, por eso estas estafas son aún más dañinas. Si un estafador tiene el control de las claves de un usuario será capaz de transferir cualquier criptoactivo a una billetera independiente.
En el fraude registrado en agosto, a pesar de que el usuario había asegurado su cuenta con una capa adicional de protección -un dispositivo de hardware que requiere que él firme las transacciones- los criminales consiguieron manipularle para que pensara que estaba autorizando pagos de derechos a trabajadores de OpenSea. Dado que una blockchain como Ethereum está descentralizada y permite el anonimato, es difícil localizar a los estafadores y las víctimas tienen pocas vías de recurso.
Difícil investigación
La naturaleza del sistema complica también la identificación si los criminales consiguen deshacerse de los activos. OpenSea puede identificar la dirección del monedero del estafador y, al confirmar el crimen, bloquear los TNF robados, impidiendo que sean comercializados o revendidos. El problema es que, en este caso, para cuando se bloquearon los activos, los estafadores ya los habían vendido a otros postores que desconocían estar participando en un intercambio de bienes robados.
A pesar de este anonimato, blockchain sí que permite seguir el rastro de las transacciones y coger a las criminales in fraganti. En otro caso reciente, fueron los mismos usuarios de la comunidad los que descubrieron que un empleado de OpenSea negociaba TNF con información privilegiada; las transacciones sospechosas pudieron relacionarse con una cuenta pública de un jefe de producto de la compañía.
La comunidad de TNF ha comenzado a desarrollar un manual de buenas prácticas para hacer frente a las nuevas amenazas, lo que implica la recaudación de fondos para recuperar los bienes robados. Esto suele incluir recaudaciones de fondos en las que usuarios y artistas aportan criptodivisas, obras y préstamos sin intereses para crear una bolsa para ayudar a víctimas de robos y estafas. También se han creado bots de rescate con nombres como Cool Cats Rescue y dogemaster42069 que patrullan el mercado, haciendo ofertas automáticas a los estafadores para que los TNF puedan ser devueltos a los propietarios