Crypto
Phishing de aprobación
Definition
El phishing de aprobación es una estafa de criptomonedas que te engaña para que otorgues a un contrato inteligente permiso para mover tus tokens o NFTs de tu billetera.
¿Qué es el phishing de aprobación?
El phishing de aprobación es una estafa basada en billeteras donde un atacante te convence de firmar un permiso en la cadena—frecuentemente una aprobación de token oNFTaprobación de operador—que permite a sudireccióno contrato transferiractivosmás tarde sin pedirlo nuevamente.
En lugar de robar tufrase semilla, la estafa abusa de los mensajes normales de la billetera (“conectar”, “firmar”, “aprobar”) para obtener un consentimiento que parece rutinario. Es un patrón central cubierto en las estafas de billeteras criptográficas y cómo evitarlas porque la transacción que firmas puede ser válida e irreversible a pesar de que la intención fue engañosa.
Phishing de aprobación
A un alto nivel, el phishing de aprobación funciona separando el momento en que otorgas permiso del momento en que se roban los fondos. Un sitio malicioso podría anunciar un airdrop, una solución de soporte o una acuñación, y luego pedirte que "apruebes" o "firmes para continuar". Nada obvio sale de tu billetera de inmediato, por lo que se siente seguro.
Pero la aprobación que acabas de otorgar puede actuar como una autorización permanente: el atacante (o un contrato "drainer" automatizado) puede llamar más tarde a una función de transferencia y retirar activos que caen bajo ese permiso. Por eso, las víctimas a menudo notan pérdidas horas o días después y luchan por conectar el robo con el clic anterior.
Phishing de aprobación de tokens
El phishing de aprobación de tokens se dirige específicamente a permisos de estilo ERC-20. Muchos tokens requieren que otorgues a un smart contract una asignación antes de que pueda gastar en tu nombre (por ejemplo, al intercambiar en un DEX). Los estafadores imitan ese flujo familiar y te engañan para que apruebes su contrato en lugar de uno legítimo.
La versión peligrosa es una autorización "ilimitada", donde el gastador puede mover hasta tu saldo completo ahora y en el futuro. Algunas campañas también utilizan aprobaciones basadas en firmas como permit2, donde firmas un mensaje que luego puede ser enviado en la cadena por el atacante para activar los derechos de gasto.
Debido a que el aviso de la billetera puede no explicar claramente al gastador o la cantidad, el phishing de aprobación de tokens a menudo tiene éxito incluso con usuarios cautelosos.
Phishing de autorización
El phishing de autorización es esencialmente el mismo ataque descrito desde la perspectiva de lo que se está abusando: la autorización (el límite numérico que define cuánto puede transferir un gastador). El objetivo del estafador es obtener una autorización que sea (1) lo suficientemente grande como para que valga la pena robar y (2) lo suficientemente amplia como para seguir funcionando después de que recibas más fondos.
En la práctica, el atacante monitorea tu billetera y activa transferencias cuando tu saldo aumenta, haciendo que el robo se sienta "misterioso". Esto también se superpone con el phishing de firmas, donde el truco es obtener una firma que autorice el gasto o establezca un operador, incluso si nunca envías una transacción de "aprobar" tradicional.
Si sospechas que has otorgado una mala autorización, la clave para mitigar es revocar la aprobación para el gastador sospechoso para que las transferencias futuras fallen.
Por qué importa el phishing de aprobación
El phishing de aprobación importa porque convierte un solo momento de confusión en un acceso continuo y programable a tus activos—sin comprometer tus claves privadas. Eso lo hace escalable para los atacantes y difícil para las víctimas de disputar: la blockchain tratará la transferencia como autorizada si existe el permiso.
También socava la confianza del usuario en acciones cotidianas de DeFi como intercambios y acuñaciones, ya que las aplicaciones legítimas utilizan la misma mecánica de aprobación. La mejor defensa es entender que "aprobar" no es un paso inofensivo, revisar rutinariamente los permisos y eliminar cualquier cosa que no reconozcas—hábitos que están en el centro de las estafas de billeteras de criptomonedas y cómo evitarlas.
Frequently Asked Questions
¿En qué se diferencia el phishing de aprobación del phishing regular?
El phishing regular generalmente intenta robar secretos como contraseñas o frases semilla. El phishing de aprobación te engaña para que autorices un permiso en la cadena, de modo que el atacante pueda mover activos utilizando una aprobación válida en lugar de credenciales robadas.
¿Puede el phishing de aprobación drenar mi billetera sin mi frase semilla?
Sí. Si otorgaste a un contrato malicioso permiso para gastar tokens o gestionar NFTs, puede transferir esos activos sin necesitar tu frase semilla, siempre que la aprobación siga activa.
¿Qué es una aprobación de token ilimitada y por qué es arriesgada?
Una aprobación ilimitada establece la asignación a un número muy grande para que un contrato pueda gastar repetidamente sin nuevas aprobaciones. Si el gastador es malicioso o se ve comprometido más tarde, puede drenar tus tokens hasta tu saldo total.
¿Cómo sé si debo revocar aprobaciones?
Revoca las aprobaciones que no reconoces, que ya no necesitas o que fueron otorgadas a sitios sospechosos, airdrops o enlaces de “soporte”. Si interactuaste con una dApp cuestionable, revocar rápidamente reduce la posibilidad de un drenaje retrasado.
¿Hace Permit2 que el phishing de aprobación sea mejor o peor?
Permit2 puede mejorar la experiencia del usuario al habilitar permisos basados en firmas, pero también crea otra superficie de consentimiento que los atacantes pueden explotar. El riesgo depende de lo que firmes y quién puede enviar ese permiso firmado en la cadena.
Related Terms
ERC-20
ERC-20 is the standard set of rules that makes Ethereum-based tokens work consistently across wallets, exchanges, and smart contracts.
Wallet Drainer
A wallet drainer is a crypto scam tool that tricks you into approving or signing transactions that let attackers transfer assets out of your wallet.
