Cuando los Contratos Inteligentes se convierten en armas: $10 millones drenados a través de una brecha de phishing

El mundo cripto enfrentó otro aviso de alerta en marzo cuando el auditor de seguridad CertiK rastreó $10 millones en ETH moviéndose hacia Tornado Cash, un servicio de mezcla de criptomonedas conocido por lavar activos robados. Esto no fue un simple hackeo de cartera. El atacante logró aprovechar una función aparentemente inocente de un contrato inteligente para drenar fondos de un inversor desprevenido.

Cómo las aprobaciones de tokens se convierten en trampas

Aquí es donde se vuelve peligroso: la víctima autorizó sin saberlo una transacción de “Aumentar Permiso”. Esta función, incorporada en los estándares de tokens ERC-20, fue diseñada para la conveniencia—permitiendo que los contratos inteligentes gasten tus tokens con tu permiso. Pero en este caso, el atacante la explotó de manera brillante. En lugar de robar fondos directamente, obtuvo la capacidad de aprobar y transferir activos a voluntad. Es como entregarle a alguien un cheque en blanco y esperar que no lo cobre.

Scam Sniffer, una plataforma de detección de fraudes en blockchain, identificó exactamente este mecanismo en acción. El atacante convirtió los activos robados en 13,785 ETH ( con un valor aproximado de $40.6 millones al precio actual de alrededor de $2,950 por token ) y 1.64 millones de DAI, luego dirigió cuidadosamente partes a través de intercambios para cubrir sus rastros.

Los números cuentan una historia sobria

Este incidente se conecta con una campaña de phishing más grande en septiembre de 2023 dirigida a una ballena de criptomonedas. La víctima perdió $24 millones en ETH apostados a través del servicio de staking de liquidez Rocket Pool durante ese ataque inicial. La explotación ocurrió en dos oleadas: primero removiendo 9,579 stETH, luego quitando 4,851 rETH de la misma cuenta.

Pero el incidente de septiembre fue solo uno de muchos. Datos recientes muestran que solo en febrero casi $47 millones desaparecieron por estafas relacionadas con phishing—con un 78% de estos robos ocurriendo en Ethereum y los tokens ERC-20 representando el 86% de los fondos robados. El patrón es claro: las aprobaciones de tokens se han convertido en la vía trasera favorita de los atacantes.

Cuando los contratos antiguos se convierten en vectores de ataque

Marzo trajo más problemas. Un contrato inteligente legado, utilizado anteriormente por el exchange Dolomite, fue comprometido, drenando $1.8 millones de usuarios que previamente le habían otorgado derechos de aprobación. El equipo de Dolomite se apresuró a emitir un aviso de revocación de emergencia, instando a los usuarios a retirar el consentimiento del contrato vulnerable.

El incidente de Layerswap reveló otra capa de vulnerabilidad. Cuando su sitio web fue comprometido mediante phishing, aproximadamente 50 usuarios perdieron activos por valor de $100,000 antes de que el equipo y el proveedor del dominio lograran contener la brecha. Aunque Layerswap se comprometió a reembolsar completamente y ofrecer compensaciones, el daño ya estaba hecho.

El panorama general: educación y tecnología de la mano

Estos no son incidentes aislados—son síntomas de un problema sistémico. Las aprobaciones de tokens democratizaron el acceso a la funcionalidad blockchain, pero también crearon un punto ciego peligroso. Los usuarios a menudo aprueban contratos sin entender qué permisos están otorgando realmente. La brecha de sofisticación técnica entre usuarios promedio y atacantes sigue ampliándose.

Empresas de seguridad como CertiK y PeckShield están jugando a la defensiva, analizando transacciones en blockchain y señalando movimientos sospechosos. Pero la detección después del hecho no previene pérdidas. Lo que se necesita es un cambio en la forma en que los usuarios interactúan con los contratos inteligentes: verificar cada aprobación, entender qué implica cada permiso y mantener la vigilancia en las interacciones con las carteras.

La comunidad cripto debe invertir en mejores herramientas, interfaces de usuario/experiencia más claras para los procesos de aprobación y campañas educativas constantes. Hasta que la brecha entre la realidad técnica y la comprensión del usuario se reduzca, los ataques de phishing que explotan las aprobaciones de tokens seguirán siendo una de las amenazas más persistentes del sector.