Los Honeypots son contratos bien organizados que parecen tener una función de redacción que permite a cualquier persona vaciar ETH (moneda nativa de Ethereum) del contrato siempre que el usuario envíe una cantidad específica de Eth al contrato con anticipación. Sin embargo, cuando el usuario intenta explotar este defecto evidente, se abre una trampa que evita que el drenaje de ETH se complete. Entonces, ¿qué hace exactamente un honeypot?
El objetivo es que el usuario se concentre únicamente en la falla visible e ignore cualquier indicación de que el contrato contiene una debilidad. Los ataques Honeypot son comunes porque somos fácilmente engañados de manera regular, como en otros tipos de estafas. Como consecuencia, ya no podemos cuantificar consistentemente los peligros a la luz de nuestros deseos y expectativas.
Este artículo explicará qué es una estafa criptográfica de honeypot y cómo funciona. Pero, lo que es más importante, veremos cómo el mundo está combatiendo este fenómeno, protegiendo a los ahorradores.
Indice
¿Qué es un crypto honeypot y por qué se utiliza?
Los programas de contratos inteligentes a través de una red descentralizada de nodos se pueden ejecutar en cadenas de bloques modernas como Ethereum. Los contratos inteligentes son cada vez más populares y valiosos, lo que los convierte en un objetivo más atractivo para los atacantes. Varios contratos inteligentes han sido blanco de piratas informáticos en los últimos años.
Sin embargo, una nueva tendencia parece estar ganando terreno; es decir, los atacantes ya no buscan contratos susceptibles, sino que adoptan una estrategia más proactiva. En cambio, su objetivo es engañar a sus víctimas para que caigan en trampas mediante el envío de contratos que parecen ser vulnerables pero contienen trampas ocultas. Honeypots es un término usado para describir este tipo único de contrato. Pero, ¿qué es una trampa criptográfica honeypot?
Los Honeypots son contratos inteligentes que parecen tener un problema de diseño que permite a un usuario arbitrario drenar Ether (la moneda nativa de Ethereum) del contrato si el usuario envía una cantidad particular de Ether al contrato de antemano. Sin embargo, cuando el usuario intenta explotar este aparente defecto, se abre una segunda trampilla, aún desconocida, que impide que el drenaje del éter tenga éxito. Entonces, ¿qué hace un honeypot?
El objetivo es que el usuario se centre por completo en la debilidad visible e ignore cualquier señal de que el contrato tiene una segunda vulnerabilidad. Los ataques Honeypot funcionan porque las personas con frecuencia son fácilmente engañadas, al igual que en otros tipos de fraude. Como resultado, la gente no siempre puede cuantificar el riesgo frente a su avaricia y suposiciones. Entonces, ¿los honeypots son ilegales?
¿Cómo funciona?
En los ciberataques criptográficos como los honeypots, el efectivo del usuario quedará encarcelado y solo el creador del honeypot (atacante) podrá recuperarlo.
Para configurar honeypots en los contratos inteligentes de Ethereum, un atacante no necesita ninguna habilidad específica. Un atacante, en realidad, tiene las mismas habilidades que un usuario normal de Ethereum. Solo necesitan el dinero para establecer el contrato inteligente y cebarlo. Una operación de trampa, en general, consta de una computadora, programas y datos que imitan el comportamiento de un sistema real que podría ser atractivo para los atacantes, como dispositivos de Internet de las cosas, un sistema bancario o una red pública o de tránsito.
Aunque parece parte de la red, está aislado y monitorizado. Debido a que los usuarios legítimos no tienen motivos para acceder a un honeypot, todos los intentos de comunicarse con él se consideran hostiles. Los honeypots se implementan con frecuencia en la zona desmilitarizada (DMZ) de una red. Esta estrategia lo separa de la red de producción líder mientras lo mantiene conectado. Un honeypot en la DMZ puede monitorizarse desde lejos mientras los atacantes acceden a él, lo que reduce el peligro de una red principal comprometida.
Para detectar intentos de infiltrarse en la red interna, los honeypots se pueden colocar fuera del firewall externo, frente a Internet. La ubicación real del señuelo depende de cuán intrincado sea, el tipo de tráfico que desea atraer y cuán cerca esté de los recursos comerciales críticos. Siempre estará aislado del entorno de producción, independientemente de dónde se coloque.
El registro y la visualización de la actividad del señuelo proporciona información sobre el grado y el tipo de amenazas a las que se enfrenta una infraestructura de red mientras desvía la atención de los atacantes de los activos del mundo real. Los ciberdelincuentes pueden apoderarse de los honeypots y usarlos contra la empresa que los instaló. Los ciberdelincuentes también han utilizado trampas para obtener información sobre investigadores u organizaciones, sirven como señuelos y propagan información errónea.
Los honeypots se alojan con frecuencia en máquinas virtuales. Por ejemplo, si el honeypot se ve comprometido por malware, se puede restaurar rápidamente. Por ejemplo, una red trampa se compone de dos o más trampas en una red, mientras que una granja de miel es una colección centralizada de trampas y herramientas de análisis.
La implementación y la administración de Honeypot pueden ser asistidas por soluciones comerciales y de código abierto. Están disponibles los sistemas honeypot que se venden por separado y los honeypots que se combinan con otro software de seguridad y se anuncian como tecnología de engaño. El software Honeypot se puede encontrar en GitHub, que puede ayudar a los recién llegados a aprender a utilizar los honeypots.
Tipos de honeypots
Hay dos tipos de honeypots basados en el diseño y despliegue de contratos inteligentes: honeypots de investigación y producción.
De investigación
Los honeypots para la investigación recopilan información sobre los ataques y se utilizan para analizar el comportamiento hostil en la naturaleza.
Adquieren información sobre las tendencias de los atacantes, las vulnerabilidades y las cepas de malware a las que los adversarios se dirigen actualmente al observar tanto su entorno como el mundo exterior. Esta información puede ayudarlo a decidir sobre defensas preventivas, prioridades de parches e inversiones futuras.
De producción
Por otro lado, los honeypots de producción tienen como objetivo detectar la penetración activa de la red y engañar al atacante. Los Honeypots brindan oportunidades adicionales de monitorización y llenan las brechas de detección comunes que rodean los escaneos de red de identificación y el movimiento lateral; por lo tanto, la obtención de datos sigue siendo una de las principales responsabilidades.
Los honeypots de producción ejecutan servicios que normalmente se ejecutarían en su entorno junto con el resto de sus servidores de producción. Los honeypots para investigación son más complicados y almacenan más tipos de datos que los honeypots para producción.
También hay muchos niveles dentro de los honeypots de producción e investigación, según el nivel de sofisticación que requiera su empresa:
Honeypot de alta interacción
Esto es comparable a un honeypot puro en el sentido de que opera una gran cantidad de servicios, pero es menos sofisticado y contiene menos datos. Aunque los honeypots de alta interacción no están destinados a replicar sistemas de producción a gran escala, ejecutan (o parecen ejecutar) todos los servicios comúnmente asociados con los sistemas de producción, incluidos los sistemas operativos en funcionamiento.
La empresa que implementa puede observar los hábitos y estrategias de los atacantes utilizando este formulario de trampa. Los honeypots de alta interacción necesitan muchos recursos y son difíciles de mantener, pero los resultados pueden valer la pena.
Honeypot de interacción media
Estos imitan características de la capa de aplicación pero carecen de su sistema operativo. Intentan interferir o dejar perplejos a los atacantes para que las empresas tengan más tiempo para descubrir cómo responder adecuadamente a un ataque.
Honeypot de baja interacción
Este es el honeypot más popular utilizado en un entorno de producción. Los honeypots de baja interacción ejecutan algunos servicios y se utilizan principalmente como una herramienta de detección de alerta temprana. Muchos equipos de seguridad instalan muchos honeypots en diferentes segmentos de su red porque son fáciles de configurar y mantener.
Honeypot puro
Este sistema de producción a gran escala se ejecuta en varios servidores. Está lleno de sensores e incluye datos «confidenciales» e información del usuario. La información que brindan es invaluable, aunque puede ser compleja y desafiante de administrar.
Tecnologías honeypots
Las principales tecnologías de honeypot más importantes en uso son:
Compradores Honeypots
La gran cantidad de honeypots son plataformas que esperan conectividad. Los honeypots de compradores buscan activamente servidores dañinos que centren su atención en los clientes, y vigilan el honeypot en busca de cambios extraños o inesperados. Todos estos programas están automatizados y tienen una política de contención para mantener seguro al equipo docente.
Honeypots de malware
Los honeypots de malware identifican el malware mediante el uso de vías de replicación y ataque bien establecido. Los Honeypots (como Ghost) se crearon para detectar valiosas unidades de almacenamiento USB. Si una máquina se infecta con un virus que continúa propagándose a través de USB, por ejemplo, el honeypot engañará al virus para que ataque el dispositivo simulado.
Honeynets
En lugar de ser un sistema único, una red trampa es una red de varios honeypots. Las redes trampa están destinadas a revelar las acciones y motivaciones de un delincuente y, al mismo tiempo, controlar todas las comunicaciones entrantes y salientes.
Honeypots de correo no solicitado
Los honeypots de correo no solicitados se utilizan para imitar pasarelas de correo de nacimiento y proxies inteligentes. Los spammers utilizan un correo electrónico para ver qué retransmisiones de correo están activas. Si tienen éxito, se obtuvieron una gran cantidad de correo no solicitado. Este tipo de trampa es capaz de detectar y acusar recibo del cheque y bloquear efectivamente la gran cantidad de correo electrónico no solicitado que lo acompañe.
Señuelo de base de datos
Dado que las entradas del lenguaje de programación estructurado pueden pasar desapercibidas por los cortafuegos durante largos períodos de tiempo, algunas empresas emplearán un cortafuegos de red para crear bases de datos de señuelo para hacer que los señuelos sean más potentes.
¿Cuál es la mejor manera de configurar un Crypto Honeypot?
Un enfoque para detectar una estafa criptografica trampa es mirar la línea de tiempo alternativa. Por lo general, una criptomoneda debería permitirte liquidarla y venderla cuando lo desees. En un fraude honeypot, habrá varios compradores de la moneda, pero tendremos dificultades para venderla. Esto indica que ya no es una moneda legítima y debes mantenerte alejado de ella.
Además, el alcance de la ciencia de la información para mantener el comportamiento de las transacciones de contratos se atenuará para identificar contratos ya sean trampas o no trampas.
Es casi seguro que los Honeypots aparecerán en tres áreas diferentes de la ejecución ordenada del contrato de Ether. Los 3 niveles son los siguientes:
La máquina virtual Ethereum (EVM)
A pesar de que la EVM se adhiere a una trama bien definida de necesidades, los autores ordenados del contrato pueden escribir el código de manera engañosa o ambigua en el aviso inicial. Es casi seguro que estos métodos serían prohibitivamente costosos para un atacante desprevenido.
El compilador de Solidity
El compilador es un espacio bidimensional en el que los programadores contratados ordenados podrían aprovecharse. Si bien los defectos obvios de la etapa del compilador están bien documentados, es probable que se pasen por alto otros. Dichos honeypots serán difíciles de inspeccionar a menos que el contrato se haya probado en escenarios del mundo real.
Explorador de cadenas de bloques Etherscan
El tercer tipo de honeypot es el explorador de blockchain Etherscan, que mantiene el hecho inequívoco de que el conocimiento que ofrecen los exploradores de blockchain no está completo. Si bien muchos ciudadanos creen requeridamente en los archivos de Etherscan, no siempre revelan la imagen completa. Los desarrolladores de contratos ordenados astutamente, por otro lado, pueden cautivar mucho sobre una de las peculiaridades clave del explorador.
La primera estafa criptografica honeypot
La forma más sencilla de entender un fenómeno complejo como un honeypot es analizar un caso real. En 2018, un delincuente se le ocurrió una idea bastante inteligente para obtener criptomonedas de usuarios sin experiencia.
El usuario creó una billetera, colocando $5,000 en $MNE (Minereum). La criptomoneda en cuestión no es esencial; lo relevante es saber que $MNE es una moneda basada en Ethereum.
Después de hacer esto, compartió su clave privada en un chat público. Creyendo que habían encontrado mucho, muchos usuarios se apresuraron a retirar monedas. Sin embargo, nadie sabía que la operación se basaba en un contrato inteligente en particular.
Sin perder el tiempo en tecnicismos, esto es lo que sucedió:
- Los usuarios conectaron sus billeteras al sitio web e intentaron retirar monedas.
- Antes de aprobar las transacciones, los usuarios deben confirmar la tarifa de gas en la operación.
- Dado que las tarifas de gas de Ethereum son famosamente altas, es crucial comprender que el costo de la transacción no fue pequeño.
- Creyendo retirar $5,000, los usuarios imaginaron que gastar $100 en las transacciones no sería gran cosa.
- Aquí está la parte difícil: el contrato inteligente tomó la tarifa del gas y la movió a una billetera secundaria.
- Al final, la transacción fallaría porque el sistema no encontraría fondos para la tarifa del gas. El truco más inteligente aquí fue que, en el futuro, nadie podría retirar los $5,000 originales.
¿Cómo protegerse contra las estafas de contratos honeypot?
Esta sección te indica cómo salir de las estafas trampa para evitar perder tu dinero. Hay herramientas disponibles para ayudarte a ver señales rojas y evitar estas monedas. Por ejemplo, usa Etherscan si la moneda que estás comprando está en la red Ethereum o usa BscScan si la moneda en cuestión está en Binance Smart Chain.
Averigua la identificación del token de tu moneda e ingrésala en el sitio web correspondiente. Ve a «Token Tracker» en la página siguiente. Aparecerá una pestaña con la etiqueta «Titular». Puedes ver todas las billeteras que contienen tokens y los fondos de liquidez allí. Desafortunadamente, hay numerosas combinaciones de elementos que debes tener en cuenta. Las siguientes son algunas de las señales de alerta que debes tener en cuenta para protegerte contra las estafas criptográficas de honeypot:
- No hay monedas muertas: si más del 50% de las monedas están en una billetera muerta, un proyecto está relativamente protegido de los tirones de alfombra (pero no de un honeypot). Si menos de la mitad de las monedas están muertas o ninguna está muerta, ten cuidado.
- Sin auditoría: las posibilidades de un honeypot casi siempre se eliminan si una empresa confiable las audita.
- Titulares de billeteras grandes: evita las criptomonedas que tienen solo una o unas pocas billeteras.
- Examina su sitio web: esto debería ser bastante sencillo; pero, si el sitio web parece apresurado y el desarrollo es deficiente, ¡es una señal de advertencia! Un truco es ir a whois.domaintools.com y escribir el nombre de dominio para ver cuándo se registró para un sitio web. Puedes estar bastante seguro de que es un fraude si el dominio se registró dentro de las 24 horas o menos del inicio del proyecto.
- Verifica sus redes sociales: los proyectos de estafa generalmente presentan fotos robadas y de baja calidad, problemas gramaticales y «mensajes de spam» poco atractivos (como «¡deje su dirección ETH a continuación!»), No hay enlaces a información relevante del proyecto, etc.
Token Sniffer es otro excelente recurso para detectar criptografía honeypot. Busca los resultados de la «Auditoría de contrato automatizada» ingresando la ID del token en la esquina superior derecha. Mantente alejado del proyecto si hay alertas. Debido a que muchos proyectos ahora emplean plantillas de contrato, la indicación «No hay contratos previos de tokens similares» puede ser un falso positivo.
Si su moneda aparece en Binance Smart Chain, ve a PooCoin, ingresa la ID del token nuevamente y controla los gráficos. Mantente alejado si no hay billeteras a la venta o si solo una o dos billeteras están vendiendo la moneda elegida. Lo más probable es que sea un honeypot. No es un honeypot si muchas billeteras están vendiendo la moneda elegida. Por último, debes realizar una investigación exhaustiva antes de separarte del dinero que tanto te costó ganar al comprar criptomonedas.
¿En qué se diferencia un honeypot de una honeynet?
Una honeynet es una red formada por dos o más honeypots. Puede ser beneficioso tener una red trampa que esté conectada. Permite a las empresas rastrear cómo un atacante interactúa con un solo recurso o punto de red y cómo un invasor se mueve entre puntos de red e interactúa con muchos puntos a la vez.
El objetivo es persuadir a los piratas informáticos de que han violado la red con éxito; por lo tanto, agregando más ubicaciones de red falsas al realismo del arreglo. Los honeypots y las honeynets con implementaciones más avanzadas, como los cortafuegos de última generación, los sistemas de detección de intrusos (IDS) y las puertas de enlace web seguras, se conocen como tecnología de engaño. Los sistemas de detección de intrusos se refieren a un dispositivo o programa de software que detecta actividades hostiles o infracciones de políticas en una red. Las capacidades automatizadas de la tecnología de engaño permiten que un honeypot responda a posibles atacantes en tiempo real.
Los Honeypots pueden ayudar a las empresas a mantenerse al día con el panorama de riesgos en constante cambio a medida que surgen las ciberamenazas. Los honeypots brindan información vital para garantizar que una organización esté preparada y son posiblemente el mejor medio para atrapar a un atacante en el acto, aunque es imposible pronosticar y prevenir cada ataque. También son una buena fuente de conocimiento para los profesionales de la ciberseguridad.
Pros y contras de los honeypots
Los honeypots recopilan datos de ataques genuinos y otras actividades ilícitas, brindando a los analistas una gran cantidad de conocimientos. Además, hay menos falsos positivos. Por ejemplo, los sistemas ordinarios de detección de seguridad cibernética pueden generar muchos falsos positivos, pero un señuelo minimiza la cantidad de falsos positivos porque los usuarios genuinos no tienen motivos para comunicarse con el señuelo.
Además, los honeypots son inversiones que valen la pena ya que solo interactúan con acciones dañinas y no demandan recursos de alto rendimiento para procesar enormes volúmenes de datos de red en busca de ataques. Por último, incluso si un atacante usa cifrado, los honeypots pueden detectar actividades maliciosas.
Aunque los honeypots ofrecen muchas ventajas, también tienen muchos inconvenientes y riesgos. Por ejemplo, los honeypots solo recopilan datos en caso de un ataque. No ha habido intentos de acceder al honeypot; por lo tanto, no existen datos para examinar el ataque.
Además, el tráfico malicioso adquirido por la red honeypot solo se recopila cuando se lanza un ataque contra ella; si un atacante sospecha que una red es un honeypot, lo evitará.
Los honeypots son generalmente reconocibles a partir de sistemas de producción legales, lo que implica que los piratas informáticos expertos pueden distinguir fácilmente un sistema de producción de un sistema honeypot utilizando técnicas de huellas dactilares del sistema.
A pesar de que los honeypots están aislados de la red real, eventualmente se conectan de alguna manera para permitir que los administradores accedan a los datos que tienen. Debido a que busca atraer a los piratas informáticos para obtener acceso a la raíz, un señuelo de alta interacción a menudo se considera más riesgoso que uno de baja interacción.
En general, los honeypots ayudan a los investigadores a comprender los riesgos en los sistemas de red, pero no deben usarse en lugar de los IDS estándar. Por ejemplo, si un honeypot no está configurado correctamente, podría explotarse para adquirir acceso a sistemas del mundo real o una plataforma de lanzamiento para ataques a otros sistemas.
Conclusión
En general, los honeypots ayudan a los investigadores a identificar vulnerabilidades en los sistemas de red, pero no deben usarse en lugar de los IDS tradicionales. Por ejemplo, si un honeypot no está configurado correctamente, podría usarlo para obtener acceso a sistemas del mundo real o como plataforma de lanzamiento para ataques a diferentes programas.
Caer en la trampa de las estafas trampa puede ser mas fácil de lo que piensas. La idea del enriquecimiento rápido y fácil puede atraer a cualquiera, pero es bueno mantener un enfoque racional del mercado.
Es comprensible que no todos los usuarios tengan las habilidades para analizar un contrato inteligente. Por esta razón, muchos desarrolladores emiten certificados de auditoría sobre todo tipo de arreglos en la cadena de bloques.
Una pequeña laguna en el contrato inteligente puede llevar a muchos usuarios a perder grandes cantidades de dinero. La educación financiera y de ciberseguridad es el arma más poderosa que cada uno de nosotros tiene contra los estafadores.