Durante el último año y medio, un grupo de personas ha estado trabajando en silencio tras bambalinas para hacer que el ecosistema de Polkadot sea más seguro para sus usuarios. Desafortunadamente, las estafas son comunes en nuestra industria y, en la mayoría de los casos, los usuarios deben valerse por sí mismos.
Sin embargo, este enfoque requiere un conocimiento sólido de las mejores prácticas de seguridad, que la mayoría de los recién llegados, y también algunos veteranos, no tienen. La comunidad de Polkadot se ha diferenciado en ese sentido y ha tomado una posición activa contra las estafas. En última instancia, la responsabilidad aún recae en el usuario para asegurarse de mantener sus fondos seguros, pero aún se pueden tomar medidas para dificultar que los estafadores victimicen a las personas.
En esta publicación, analizamos cómo surgieron estas iniciativas, qué han logrado y cómo la comunidad de Polkadot continuará trabajando para proteger el ecosistema de los estafadores en el futuro.
Cómo empezó todo
Es febrero de 2021. Polkadot ha estado activo durante menos de seis meses, pero eso no ha disuadido a los estafadores de generar sitios de reclamos falsos para tokens de asignación de DOT en Ethereum o estafas de obsequios («envíenos X DOT y le devolveremos 3X ” — ¡sí, son estafas!) El departamento legal de Web3 Foundation tiene una gran acumulación de solicitudes de eliminación de estos sitios y la situación no mejora.
La amenaza para la marca Polkadot en desarrollo es real, pero nuestra preocupación va más allá. No queremos que Polkadot sea un ecosistema libre para todos; queremos que sea un ecosistema seguro, donde sus usuarios no tengan que preocuparse constantemente por caer en estafas y los estafadores deberían pensar dos veces antes de lanzar sus redes.
Comienzan las conversaciones entre la gente de W3F y Parity sobre cómo abordar la situación y de estas conversaciones nace el equipo Anti-Scam, liderado por el recién fundado departamento Anti-Scam de la Fundación. Esto puede parecer trivial, y realmente no fue difícil de hacer, pero que yo sepa, fue la primera vez que una cadena de bloques tenía un equipo antiestafa dedicado, incluso uno que en ese momento estaba bastante centralizado.
El objetivo era simple: hacer lo que podamos para proteger a los usuarios y hacer de Polkadot un ecosistema seguro. Simple en teoría pero difícil de lograr, especialmente si desea mantenerse fiel al espíritu de la Web 3.0 y hacerlo de manera descentralizada y en cadena, como lo hacemos nosotros.
Un año y medio después, se ha avanzado mucho en todos los frentes, incluida la descentralización de los esfuerzos, pero aún queda mucho por hacer. Siga leyendo para obtener más información sobre los pasos que hemos tomado, el estado actual de las cosas y lo que prevemos para el futuro.
Primeros pasos
Descentralizar los esfuerzos contra las estafas y ponerlos en cadena no es una tarea fácil, principalmente porque la mayoría de las luchas contra las estafas ocurren en la Web 2.0. Es factible, y el camino ahora está más despejado, pero los estafadores no iban a esperar a que resolviéramos todo, y los usuarios serían víctimas mientras tanto. Entonces, comenzamos con cosas que podíamos hacer de inmediato, mientras trabajábamos hacia nuestras metas más amplias.
Las estafas criptográficas toman muchas formas, como estafas de obsequios, ladrones de semillas, agentes de apoyo falsos y grupos en las redes sociales, y los estafadores siempre encuentran nuevas formas de engañar a sus víctimas. Requiere vigilancia, por eso hemos reunidoesta guíasobre cómo protegerse contra ellos.
Para reducir rápidamente la proliferación de estas estafas, Web3 Foundation se asoció con PhishFort , una empresa antiphishing que se especializa en la industria de las criptomonedas, para detectar y eliminar sitios falsos e instancias de redes sociales. Después de un año de colaboración, Web3 Foundation hizo un cambio a otra gran empresa en el campo, Allure Security .
Incluso este fue un gran paso en la dirección correcta. Hasta entonces, la única forma de enterarse de una estafa en la naturaleza era si alguien la veía y la denunciaba, ya sea un empleado o un usuario, y en este último caso, con demasiada frecuencia solo después de caer en la trampa. Pero al trabajar con una empresa antiphishing como PhishFort y más tarde con una empresa de protección de marca en línea como Allure Security, comenzamos a luchar contra los estafadores.
Con esta primera línea de defensa establecida, nos enfocamos en cómo abordar las estafas en áreas que generalmente no están protegidas por compañías antiphishing, como Telegram o Discord, en cómo ser más proactivos que reactivos, pero más importante, en cómo para descentralizar nuestros esfuerzos y eventualmente ponerlos en cadena.
La solución vino de la comunidad. En ese momento, había un par de miembros de la comunidad que estaban bastante involucrados en la lucha contra las estafas en sus diversas formas y eso dejó claro el camino a seguir: reuniríamos a estas personas preocupadas por la seguridad y las recompensaríamos de manera consistente por proteger a la comunidad. En otras palabras, la comunidad se protegería a sí misma.
Se crearon dos iniciativas: una en la que los miembros de la comunidad encontrarían y eliminarían sitios fraudulentos, y otra en la que harían lo mismo con los grupos fraudulentos de Telegram. Estos fueron los precursores de Anti-Scam Bounty (más sobre esto más adelante).
La primera iniciativa fue un éxito rotundo. Desde septiembre de 2021, cuando comenzó este experimento, hasta finales de febrero de 2022, cuando fue reemplazado por Anti-Scam Bounty, los participantes de la iniciativa encontraron 1661 sitios fraudulentos dirigidos a usuarios de Polkadot y eliminaron más del 95 % de ellos.
Desafortunadamente, su contraparte en Telegram no tuvo tanto éxito. No porque los participantes no estuvieran tan involucrados o fueran tan capaces, sino porque Telegram es famoso por su inacción contra las estafas y sus informes y esfuerzos generalmente fueron en vano. Como resultado, esta iniciativa fue abandonada y estamos buscando una forma más innovadora de abordar el problema.
Pero estas iniciativas tuvieron otro gran efecto: cambiaron los procesos de toma de decisiones de Web3 Foundation y Parity hacia la comunidad. ¡El equipo Anti-Scam se estaba descentralizando!
La recompensa contra las estafas
La idea de que deberíamos recompensar a los participantes en las iniciativas contra las estafas con recompensas para niños estuvo presente desde el principio. Pero la paleta de recompensas por niños no lo era. Las recompensas permiten destinar una parte de la tesorería a una tarea específica.
Está controlado por los curadores de la recompensa, individuos o entidades con experiencia en el campo, para ser dispersados de acuerdo con el propósito de la recompensa. Las recompensas para niños amplían esa funcionalidad y permiten que la recompensa sea abierta y otorgue los fondos asignados en partes más pequeñas para diferentes tareas o hitos completados.
Entonces, al principio recompensamos los esfuerzos de los participantes con consejos . Cuando la paleta de recompensas para niños finalmente se abrió paso en el tiempo de ejecución de Polkadot, se creó la recompensa contra estafas, y fue la primera recompensa en hacer uso de esa paleta. De hecho, hasta hace poco, todas las recompensas para niños abiertas en Polkadot eran de Anti-Scam Bounty.
En los meses transcurridos entre el lanzamiento de la iniciativa y su sustitución por la recompensa, los participantes proporcionaron muchos comentarios positivos.
Por un lado, nuestros esfuerzos no deben centrarse únicamente en eliminar sitios fraudulentos. Si bien este es nuestro esfuerzo principal, los participantes propusieron ideas para utilizar todas las herramientas a nuestra disposición y expandir las actividades contra las estafas en otras áreas. Como tal, cuando elRecompensa antiestafa fue creado, incorporó todas estas ideas comoTareasque la comunidad podría emprender para ayudar a que nuestro ecosistema sea más seguro.
Estos se describen en detalle en la propuesta Anti-Scam Bounty , pero para brindar una descripción general de alto nivel, la recompensa incentiva a la comunidad a detectar y eliminar sitios fraudulentos ( tarea 1 ), junto con otros tipos de estafa, como perfiles de redes sociales falsos. y aplicaciones de phishing ( Tarea 5 ), para crear material educativo para los usuarios ( Tarea 7 ), para traer billeteras, intercambios y compañías antivirus al redil integrando nuestro repositorio de phishing ( Tarea 6 ), para proteger nuestros servidores Discord de redadas ( Tarea 4 ), y crear un Panel Anti-Scam para que actúe como el eje central de todas las actividades anti-scam en nuestro ecosistema ( Tarea 3 ).
En esta hoja de cálculo se puede encontrar una descripción general de estas tareas, con su estado actual de implementación y enlaces a sus descripciones y reglas específicas .
Cada tarea está seleccionada por un miembro de la comunidad, cuya función es trabajar con los implementadores para garantizar que la tarea sea exitosa, proponer ideas para mejorarla e impulsarla a alcanzar su máximo potencial. Y ellos también son recompensados por sus esfuerzos.
La recompensa es administrada por los curadores generales, que actualmente consisten en tres miembros de la comunidad y dos personas del departamento Anti-Scam de W3F como respaldo. Pero el objetivo es que la recompensa, como todas las actividades contra las estafas, sea administrada exclusivamente por la comunidad y todos los curadores generales sean miembros de la comunidad.
Y si se pregunta si vale la pena el tiempo que dedican los implementadores y curadores, la recompensa ha otorgado más de 16,000 DOT en recompensas hasta la fecha, con la detección y eliminación de sitios fraudulentos (Tarea 1) obteniendo la parte del león.
En junio, cambiamos la denominación de las recompensas de DOT a USD para mantener a los participantes incentivados y permitirles una mejor programación financiera. Como resultado, las recompensas en DOT aumentaron significativamente.
Pero, ¿hemos logrado algo?
Una métrica de éxito clara para tal iniciativa sería cuántas personas hemos protegido. Pero obviamente algo así es imposible de medir. Solo podemos hacer deducciones y suposiciones basadas en otras métricas, como cuántos sitios se han eliminado, cuántas víctimas de estafas se han puesto en contacto con el soporte y cuánto DOT se ha enviado a direcciones de estafas conocidas.
Entonces, veamos lo que hemos logrado hasta ahora.
Desde que comenzó la recompensa en marzo de 2022 y hasta finales de octubre de 2022, se enviaron un total de 5524 sitios, y la gran mayoría de ellos se eliminó en el mismo mes o en meses posteriores.
Este es un aumento del 270% en comparación con la iniciativa anterior, si comparamos las presentaciones mensuales promedio, lo que refuerza la conclusión de que fue una primera iteración exitosa de la iniciativa que condujo a una tarea de recompensas aún más exitosa.
En realidad,después de establecer el programa de recompensas como una comunidad y ser testigos de su eficacia, ahora confiamos únicamente en ellos para encontrar y responder a los sitios web fraudulentos.
Web3 Foundation continúa asociándose con Allure Security para encontrar y eliminar cuentas engañosas de redes sociales y aplicaciones no autorizadas dirigidas a miembros de la comunidad. En el futuro, el objetivo es confiar todos los aspectos de la protección contra estafas en línea exclusivamente a la comunidad. Y cualquier empresa en el campo que desee unirse a la generosidad y contribuir con su experiencia es bienvenida.
La gran mayoría de los sitios que envían los implementadores son ladrones de semillas genéricos, mientras que solo un pequeño porcentaje apunta específicamente a Polkadot. Un requisito para que estos ladrones de semillas sean elegibles para la recompensa es apuntar a los usuarios de Polkadot o Kusama de alguna manera.
Esto generalmente significa que cuentan con Polkadot o una billetera específica del ecosistema (como Polkadot-JS) entre las cadenas/billeteras «compatibles». Pero al eliminarlos, los implementadores no solo protegen a nuestra comunidad, sino que también protegen a los usuarios de todas las demás cadenas, billeteras y dApps «anunciados» en esos sitios.
Para ir un paso más allá, los miembros de la comunidad también agregan a la lista de sitios fraudulentos en nuestro repositorio de phishing todos los dominios que encuentran durante sus búsquedas, incluso si no están dirigidos a Polkadot y, por lo tanto, no son elegibles para la recompensa.
Como resultado, la lista de bloqueo ha crecido de un par de cientos de sitios cuando nuestros esfuerzos contra las estafas comenzaron en abril de 2021 a casi14.000 entradasa finales de octubre de 2022! Y el impacto de esta iniciativa desde su inicio en septiembre de 2021 es bastante evidente.
Este sorprendente crecimiento, además de atestiguar el éxito de la iniciativa, también demuestra que más del 50% de las entradas en la lista de sitios fraudulentos no están relacionadas con Polkadot. Sin embargo, los implementadores y otros miembros de la comunidad los agregan porque queremos que todos se beneficien de nuestros esfuerzos, e invitamos a cualquier proyecto de la industria que brinde funciones de navegación segura a sus usuarios a integrar nuestra lista de bloqueo a sus servicios. ¡Estamos todos juntos en esto!
Pero antes de continuar, ya hemos mencionado el repositorio de phishing varias veces y es posible que se pregunte qué es exactamente. El repositorio de phishing es un repositorio de Github de código abierto y seleccionado por la comunidad que contiene sitios de estafas y direcciones asociadas con estafas . La extensión de Polkadot evitará que los usuarios visiten sitios en el repositorio y la interfaz de usuario de Polkadot-JS advertirá a los usuarios que intenten enviar fondos a una de estas direcciones fraudulentas conocidas. Pero dado que este repositorio es de código abierto, cualquier aplicación o extensión que ofrezca una funcionalidad similar puede integrar estas listas. ¡Eso es lo que la Tarea 6 de la recompensa está tratando de lograr e invitamos a cualquier proyecto interesado a contactarnos y hacer que esto suceda!
Ahora, de estas direcciones fraudulentas en el repositorio, alrededor de ⅓ no han recibido ningún DOT, mientras que casi el 92 % recibió hasta 3000 DOT en general. La gran mayoría de las cuentas que recibieron más que eso lo hicieron antes de que comenzaran nuestros esfuerzos contra las estafas y las dos cuentas principales que recibieron alrededor de 13 000 y 16 000 DOT están vinculadas (lo que significa que las 13k están incluidas en las 16k), al igual que algunas de las otras .
La cantidad total perdida no es pequeña en ninguna medida (alrededor de 125,000 DOT) pero es alentador que la mayor parte se perdió antes de que comenzaran nuestros esfuerzos y desde entonces hemos visto una reducción en las ganancias de los estafadores.
Pero, ¿qué pasa con el efecto en los usuarios? Las solicitudes relacionadas con estafas en general y los informes de las víctimas de estafas tienden a correlacionarse con las condiciones del mercado, por lo que no se puede llegar a conclusiones seguras, pero el bajo volumen en los últimos meses es alentador. Y ciertamente hay más víctimas por ahí que nunca nos contactaron. Si eres uno de ellos, echa un vistazo Este artículoy póngase en contacto con nuestro soporte.
Sin embargo, la recompensa no se trata solo de eliminar sitios fraudulentos. Como se mencionó anteriormente, el objetivo es abordar el problema desde todos los ángulos.
Los implementadores y curadores también trabajan febrilmente en todas las demás tareas, y los resultados comienzan a verse.
Ya existe una base de datos de contactos para 47 registradores de DNS y proveedores de hospedaje, como parte de la Tarea 2 , para que los implementadores de la Tarea 1 puedan comunicarse con ellos de manera eficiente y acabar con los sitios fraudulentos rápidamente. También hay un tutorial detallado para ayudar a los nuevos implementadores a ser efectivos en la eliminación de sitios fraudulentos.
Las herramientas para proteger a nuestra comunidad de Discord de estafadores y ataques de bots ya están implementadas o se están probando, mientras que los esfuerzos para acabar con las estafas en las redes sociales y las aplicaciones de phishing comenzaron en octubre de 2022. Hasta el momento, se han detectado 42 perfiles o grupos de estafa y 10 de ellos han sido derribados.
Y ya está publicado el primer material para educar a nuestra comunidad sobre cómo protegerse. Un video breve y divertido , infografías , un artículo y un cuestionario para probar los nuevos conocimientos sobre frases mnemotécnicas y claves privadas están a disposición de la comunidad, y aún quedan más por venir.
En cuanto a la descentralización de nuestros esfuerzos, en junio de 2022 elEquipo antiestafas de Polkadotse fundó para actuar como el «órgano rector» de todos los esfuerzos contra las estafas, trasladando oficialmente el control de Web3 Foundation y Parity a la comunidad.
Se compone de cinco miembros de la comunidad, dos de Web3 Foundation y un consejero de Polkadot como miembro asociado. Tiene un “capitán” de equipo elegido entre los miembros de la comunidad en rotación, cuya función es organizar el equipo.
Otras iniciativas
El Anti-Scam Bounty es obviamente el foco principal de nuestros esfuerzos, pero no es el único. También hacemos lo que podemos para ayudar a las víctimas que han sido víctimas de estafas o hackeos.
Desde el primer día, Web3 Foundation se unió a Crypto Defenders Alliance (CDA) , un consorcio de intercambios y billeteras que trabajan juntos para prevenir el lavado de fondos robados. Cada vez que una víctima de estafa o pirateo se pone en contacto con nuestro soporte, o encontramos una estafa en la naturaleza, informamos todas las direcciones asociadas a CDA para la lista de bloqueo, con la esperanza de que si estos fondos llegan a un intercambio que los ha marcado, el intercambio congélalos y avísanos.
Los equipo de apoyo en Web3 Foundation también puede brindar asesoramiento y ayudar a las víctimas a asegurar los fondos que aún no hayan sido robados.
Por ejemplo, hemos desarrollado métodos para ayudar a los usuarios con DOT vinculado en una cuenta comprometida a desvincularlos de manera segura y moverlos a una cuenta segura.
Desde que creamos estos métodos hemos ayudado exitosamente a cuatro personas en esa situación y hemos ahorrado cerca de 13,000 DOT. En esos casos, los usuarios por lo general ya habían perdido otros tokens, a veces valorados mucho más que el DOT vinculado. Pero la sola acción de ayudarlos en su hora de necesidad, trabajar con ellos durante semanas y finalmente salvar su DOT, fue invaluable por sí sola para ambas partes.
Finalmente, se está trabajando en una colaboración que brindará a las víctimas una experiencia de soporte integral y dedicada y mejores recursos en caso de que se vean afectados por una estafa. ¡Manténganse al tanto!
¿Qué depara el futuro?
Como se mencionó varias veces en este artículo, nuestros esfuerzos están lejos de estar completos y todavía tenemos un largo camino por recorrer para lograr todas nuestras metas.
Nuestro enfoque inmediato es completar todas las tareas en Anti-Scam Bounty y asegurarnos de que todas sean tan exitosas y útiles como la Tarea 1. Crear el panel Anti-Scam para proporcionar mejores herramientas para la recompensa y un centro para que la comunidad se mantenga actualizada. en todo lo relacionado con la lucha contra las estafas, es de especial importancia.
Además, Polkadot Alliance está a la vuelta de la esquina. Será el primer colectivo en cadena construido sobre el nuevo sistema de Colectivos parachain .
Sus miembros fundadores serán elegidos por la comunidad y los nuevos miembros pueden postularse o ser invitados a unirse. Polkadot Alliance proporciona un marco en cadena para aumentar la reputación de aquellos equipos en el ecosistema que empoderan a otros y contribuyen al ecosistema en alineación con la cultura de código abierto.
El objetivo del equipo Anti-Scam es unirse a Alliance como Fellow, porque creemos que nuestros objetivos de crear un ecosistema más seguro están alineados y podemos brindar asistencia útil y experiencia para lograrlo.
Otro objetivo importante, quizás el más importante, es aumentar nuestros esfuerzos educativos para llegar a más personas dentro y fuera de nuestro ecosistema de maneras nuevas e innovadoras. Esta es una gran empresa que probablemente nunca cesará, pero es la forma más efectiva de seguridad a largo plazo para nuestra comunidad.
La educación es la “bala de plata”, porque si todos los usuarios saben cómo protegerse y evitar trampas, entonces todas las demás iniciativas quedan obsoletas y todos podemos irnos a casa, estafadores incluidos.
Junto con eso, ampliaremos nuestros esfuerzos para proteger no solo a Polkadot y Kusama, sino también a parachains y otros proyectos en nuestro ecosistema más amplio.
El paso más inmediato que podemos tomar en esa dirección es ampliar la cobertura de las tareas de recompensa relevantes para incluir paracaídas y otros proyectos populares. Pero con herramientas nuevas y emocionantes que se construyen todos los días en nuestro ecosistema, potencialmente podríamos hacer mucho, mucho más.
Por supuesto, la descentralización de nuestros esfuerzos también continuará sin cesar. El primer paso es hacer que todos los curadores y miembros del equipo Anti-Scam sean de la comunidad, con Web3 Foundation desempeñando solo una función de asesoramiento.
Al mismo tiempo queremos definir más claramente el alcance y la estructura del equipo, así como los procesos de incorporación y ascenso. El objetivo final de la descentralización es llevar al equipo a la cadena en forma de Colectivo.
Finalmente, queremos explorar mover el proceso de envío de la recompensa en la cadena, potencialmente mediante el uso de almacenamiento descentralizado y NFT o comentarios en la cadena como una herramienta para la prueba de envío. Y a partir de ahí, quién sabe. Dado que Substrate es tan personalizable y Polkadot ofrece muchas herramientas para usar, probablemente solo estemos limitados por nuestra imaginación.
Como contribuir
El simple hecho de denunciar una estafa cuando la encuentra es una gran contribución en sí misma. Puede que no parezca mucho, pero puede evitar que alguien pierda los ahorros de su vida.
Informar a nuestra dirección de correo electrónico dedicada ( antiscam@polkadot.network ) es la mejor manera, pero si es miembro de nuestro servidor Discord , también puede usar el canal #scam-check, dedicado a esto. O puede hacer una PR directamente en nuestro repositorio de phishing.
Pero si le gustó lo que leyó y desea participar en los esfuerzos contra las estafas, publique en el canal #scam-check o envíenos un correo electrónico y un miembro del equipo Anti-Scam se comunicará con usted. Actualmente, solo los Embajadores de Polkadot y, en general, los miembros activos de nuestra comunidad son elegibles para unirse, pero se pueden hacer excepciones para personas entusiastas que tienen problemas con los estafadores.
Y si eres parte de un proyecto en nuestro ecosistema más amplio y todo esto suena interesante, ponte en contacto. Como se mencionó anteriormente, queremos convertir nuestras iniciativas en un paraguas protector sobre todo el ecosistema, así que trabajemos juntos.
Finalmente, si eres un estafador y estás leyendo esto, probablemente ya te hayas dado cuenta de que no lo tendrás fácil en el ecosistema de Polkadot. Así que empácalo y muévete. O mejor aún, ¡busca un trabajo y deja de intentar robarle a la gente!
Sobre Polkadot
Polkadot es un protocolo tecnológico que da cabida a diversas redes de blockchain, permitiéndoles operar juntas en un entorno totalmente integrado. Los proyectos dentro del ecosistema Polkadot pueden acceder a una gobernanza abierta, a tesorerías on-chain, a actualizaciones sin necesidad de recurrir a la red y a un procesamiento de transacciones en paralelo para lograr la máxima escalabilidad.
