Un hackeo de 440.000 dólares expone amenazas derivadas de estafas de "permisos" en Ethereum

2025-12-10 04:30:32

Un hacker ha robado más de 440.000 dólares en USDC después de que un propietario de una cartera firmara accidentalmente una firma maliciosa de “permiso”, según una advertencia publicada el lunes por la plataforma anti-phishing Scam Sniffer.

El incidente se produce en medio de un fuerte aumento de los daños derivados de ataques de phishing. Solo en noviembre, se retiraron unos 7,77 millones de dólares de más de 6.000 víctimas, un aumento del 137 por ciento respecto a octubre, aunque el número de víctimas cayó un 42 por ciento.

Según el informe, la “caza de ballenas” siguió aumentando, con el caso más grande alcanzando los 1,22 millones de dólares a partir de una sola firma de permiso, lo que muestra que, aunque el número de casos disminuyó, el nivel de daños por víctima aumentó significativamente.

¿Qué es una estafa de permisos?

Las estafas de permisos explotan la práctica de engañar a los usuarios para que firmen una transacción que parece legítima pero que en realidad otorga al atacante el derecho a gastar su dinero. Muchas dApps maliciosas disfrazan contenido, suplantan nombres de contratos o crean solicitudes de firma que parecen operaciones rutinarias.

Si el usuario no lo verifica dos veces, esa firma otorga al atacante permiso total para usar el token ERC-20 en la cartera. Una vez licenciados, normalmente agotan sus fondos inmediatamente.

Este método aprovecha la función permit de Ethereum, diseñada para facilitar la autorización de gastos en aplicaciones de confianza. Sin embargo, la conveniencia se convierte en un defecto cuando este bien cae en malas manos.

Se ha lanzado una nueva iniciativa interinstitucional para desmantelar las redes internacionales de fraude en criptomonedas, especialmente los modelos de “carnicería de cerdos” que han causado pérdidas de miles de millones de dólares en los últimos años. Muchas agencias como el Departamento de Justicia, el FBI, el Servicio Secreto y el Departamento del Tesoro de EE. UU. coordinarán para reprimir estos grupos criminales.

¿Por qué es difícil reconocer la estafa de permisos?

Tara Annison, directora de producto en Twinstake, dijo que el peligro es que un atacante pueda retirar fondos en una sola transacción o esperar a que la víctima cargue más tokens en la cartera, siempre que haya establecido un periodo de validez de firma lo suficientemente largo.

“El éxito de este tipo de estafa radica en que los usuarios firman algo que no entienden. Explota la subjetividad y la impulsividad humana”, dijo.

También dijo que no es un caso raro. Muchos ataques de phishing de alto valor suelen suplantar airdrops gratuitos, sitios web falsos de proyectos o alertas de seguridad falsas para atraer a los usuarios a conectar monederos y firmar transacciones.

Las carteras de criptomonedas aumentan las alertas — pero no lo suficiente

Carteras como MetaMask han añadido alertas sospechosas en sitios web y han trasladado los datos de transacciones a un formato más comprensible. Algunas otras carteras también destacan operaciones de alto riesgo. Sin embargo, el atacante seguía cambiando de táctica.

Harry Donnelly, fundador de Circuit, advierte que los ataques basados en permisos son “bastante comunes” y que los usuarios deben comprobar sus direcciones de envío, contratos relacionados y, especialmente, los límites de licencia; en muchos casos, los actores malintencionados piden permisos de gasto ilimitados.

Cómo protegerte

Annison enfatiza que revisar dos veces lo que vas a firmar sigue siendo la línea de defensa más importante:

Entender qué acciones ocurrirán tras firmar
Comprueba si la función que se llama es correcta para la operación que deseas
No firmes solo porque el dapp lo pida o por la promesa de recibir recompensas

Muchas carteras han mejorado la interfaz para que los usuarios la entiendan más fácilmente, pero sigue siendo responsabilidad de los propios usuarios estar atentos.

Según Martin Derka, cofundador de Zircuit Finance, la posibilidad de recuperar el dinero es “casi nula”.

Dijo que en los ataques de phishing, la víctima no sabe quién es la otra persona, no hay punto de contacto y el atacante siempre tiene un único objetivo: tomar el dinero y desaparecer. “Una vez que el dinero se va, se acaba”, dijo.

Thach Sanh

ETH0.45%

Ver originales

Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.