AI News CryptoTRADE THE NEWS
A hand holding a smartphone displaying a blue

Cómo funcionan los drenes de billetera: permisos que…

By AI News Crypto Editorial Team10 min read

Los drenadores de billetera funcionan al aprovechar la autorización reutilizable de la billetera de una víctima, y luego utilizan ese permiso para mover tokens, NFTs y, a veces, monedas nativas sin volver a pedirlo. La cadena hace cumplir esas aprobaciones firmadas y permisos de datos escritos como instrucciones válidas, por lo que el robo a menudo se lee como una actividad normal de DeFi en lugar de un "hackeo."

Puntos clave

  • Un drenador de billetera generalmente tiene éxito sin una frase semillaal hacer que la víctima firme una aprobación ERC-20, una aprobación de operador de NFT, o una firma de datos escritos estilo permiso.
  • La estafa es típicamente de dos etapas: captura de permiso primero, luego una barrida automatizada inmediatamente o más tarde usando funciones como transferFrom o setApprovalForAll.
  • El phishing de firmas a menudo es más peligroso de lo que parece porque las firmas de datos escritos pueden convertirse en aprobaciones en la cadena después del hecho.
  • Los drenadores a menudo pasan a través de legítimosDEXenrutadores para que el rastro en la cadena se asemeje a un intercambio normal, lo que retrasa la detección y la respuesta.

Fundidores de billeteras y conceptos básicos de phishing de aprobación

El truco principal es simple: el atacante no necesita romper la criptografía de la billetera si puede convencer a la víctima de autorizar al atacante como gastador. Por eso, un drenador de billeteras se encuentra dentro de la experiencia normal del usuario de DeFi, no fuera de ella. La víctima conecta una billetera, ve un mensaje familiar y firma algo que parece rutinario.

Luego, la blockchain hace lo que está diseñada para hacer, que es hacer cumplir la autorización exactamente como se firmó.

Por eso el phishing de aprobación es el modelo mental correcto. El atacante no está “iniciando sesión” como la víctima. El atacante está obteniendo un permiso que el protocolo reconoce, y luego lo utiliza como una línea de crédito disponible.

El informe de la campaña de drenaje de Trust Wallet de FinanceFeeds es explícito en que estos flujos pueden vaciar carteras “en el segundo en que un usuario hace clic en aprobar”, y que la mecánica refleja el uso legítimo de DeFi en lugar de malware o un exploit.

Una distinción útil para los lectores que provienen de la seguridad de Web2 es que una billetera puede ser "comprometida" en el sentido de ser drenada sin elclave privadanunca dejando el dispositivo. CryptoAdventure lo enmarca como consentimiento: el usuario firma, la cadena valida, el atacante transfiere. Esa es también la razón por la cual "uso una billetera de hardware" no es una defensa completa.

FinanceFeeds señala que las billeteras de hardware reducen el riesgo de robo de claves privadas, pero no previenen drenajes aprobados por el usuario si el usuario firma la aprobación incorrecta.

Esta explicación se sitúa dentro del tema más amplio de las estafas de billeteras de criptomonedas y cómo evitarlas, ya que la defensa se basa principalmente en la higiene de permisos, no en antivirus.

El flujo de ataque de conectar y aprobar

El camino de drenaje de mayor probabilidad es primero un problema de distribución y segundo un problema de smart contract.

FinanceFeeds describe un manual de cinco pasos relacionado con el aviso nacional de cibercrimen de India TAU/ADV/013: suplantación de identidad DM en Telegram, Discord o X, un sitio clonado, un aviso de conexión de billetera a través de WalletConnect o un navegador dentro de la billetera, una sola aprobación y luego un barrido automatizado.

El desglose de Blockaid añade otro vector de distribución que importa para los traders que se mueven rápido: secuestro de front-end, donde la interfaz de usuario de un sitio legítimo es reemplazada por una versión maliciosa.

De extremo a extremo, el flujo suele ser:

1. Atraer al usuario a un dominio similar o a un front-end secuestrado. La atracción suele ser “verificar”, “reclamar” o “airdrop,” y está diseñada para crear urgencia. 2. Forzar la conexión de la billetera temprano. Blockaid observó una página donde cualquier botón activaba el diálogo de conexión, que es un indicio conductual común. 3. Recoger el contexto de la billetera.

Blockaid muestra al drenador comunicándose con la infraestructura de comando y control y utilizando lecturas JSON-RPC como eth_call para aprender qué assetsy el estado del nonce que puede apuntar. 4. Cosechar el permiso. Este es el momento en que la víctima piensa que está haciendo algo inofensivo, como aprobar un token para un intercambio o “firmar un mensaje.” 5. Ejecutar la barrida.

FinanceFeeds describe “barridas que lo abarcan todo en segundos,” y Coca enfatiza que el drenaje puede ser retrasado, lo que confunde a las víctimas sobre qué acción causó la pérdida.

El ángulo de “drenador como servicio” es importante porque explica por qué estos flujos parecen plantillas. Coca describe a los drenadores como kits vendidos a estafadores, y ese empaquetado es la razón por la que los mismos patrones de UX se repiten en cadenas y billeteras.

Los drenadores de permisos abusan de la cadena

Las asignaciones ERC-20 son el caballo de batalla. Una dApp normal solicita aprobación para poder mover tokens en nombre del usuario durante un intercambio o depósito. Un drenador de criptomonedas solicita la misma aprobación, pero apunta al gastador a un contrato controlado por un atacante o direccióny a menudo empuja un límite ilimitado.

Una vez que esa aprobación existe, el atacante puede volver más tarde y mover tokens usando transferFrom sin ningún nuevo aviso a la víctima. FinanceFeeds y Coca ambos mencionan las aprobaciones ilimitadas como la palanca que hace que esto sea escalable.

El patrón de drenaje retrasado es donde las personas diagnostican erróneamente lo que sucedió. Coca describe la secuencia donde un usuario aprueba hoy, no ve movimiento inmediato, luego recarga la billetera más tarde y es drenado en segundos porque la aprobación existente ya estaba en su lugar. Por eso la forma correcta de leer una aprobación no es “¿salió dinero ahora mismo?”, sino “¿a quién acabo de autorizar para que retire dinero más tarde?”

Los NFTs tienen su propia versión de la misma trampa. FinanceFeeds y Coca ambos señalan setApprovalForAll, que otorga a un operador la capacidad de mover todos los NFTs en una colección para esa billetera. Los usuarios a menudo tratan esto como un paso único para listar o acuñar. Para un drenador, es una llave maestra para esa colección.

Dos implicaciones prácticas se derivan de esto:

1. La ventaja del atacante es la persistencia. Una sola aprobación puede permanecer válida hasta que sea revocada. 2. La ventaja de la víctima es la reversibilidad de los permisos. FinanceFeeds y Coca ambos señalan herramientas como Revoke.cash y el verificador de aprobación de tokens de Etherscan para revisar y revocar asignaciones y aprobaciones de operadores.

Aquí es donde el término 'drainer de billetera' debería aterrizar: no es un contrato mágico que 'rompe' billeteras. Es una automatización que abusa de los permisos exactos en los que se basa DeFi.

Drenadores basados en firmas y trampas de permisos

Los pop-ups más costosos son a menudo los que no parecen transacciones. El desglose de Blockaid del 2024-10-13 muestra un drainer utilizando eth_signTypedData_v4 para capturar una firma de datos tipados EIP-712 que codifica un permiso EIP-2612. El drainer primero reunió nonce y metadatos del token a través de eth_call, luego pidió a la víctima que firmara datos estructurados que autorizaban a un gastador por un valor muy grande.

El punto clave es que la firma está fuera de la cadena en el momento en que la víctima la firma, pero puede ser enviada a la cadena más tarde a través de la función de permiso del token.

Eso es phishing de firma en su forma más limpia. La víctima piensa 'No envié una transacción.' El atacante piensa 'Acabo de obtener una aprobación que puedo ejecutar cuando quiera.' Coca señala los riesgos de firmas de permiso y estilo Permit2 como parte de los kits modernos de drainer, y CryptoAdventure agrupa estos como drenadores basados en firmas distintos de los drenadores clásicos de aprobación en cadena.

Blockaid también observó wallet_switchEthereumChain en el mismo flujo, forzando un cambio a Arbitrum One a pesar de que la página se hacía pasar por unBNBairdrop de cadena. Esa solicitud de cambio de cadena no es cosmética. Es una forma de apuntar a la red donde la víctima realmente posee activos.

Dos consecuencias son importantes para los usuarios:

1. Las firmas de datos tipados pueden ser más difíciles de razonar que un aviso de aprobación en cadena porque se presentan como 'firmar un mensaje.' Blockaid argumenta que la mayoría de las billeteras no pueden simular estas firmas fuera de la cadena de la manera en que pueden simular transacciones en cadena. 2. El atacante puede separar la captura de permisos de la ejecución.

Esa flexibilidad de tiempo es la razón por la que los drenadores pueden esperar momentos de bajas tarifas o que la billetera se recargue.

Esta es también la razón por la que la firma ciega es un modo de falla recurrente. Si la interfaz de usuario de la billetera no muestra claramente lo que los datos tipados autorizan, el usuario está efectivamente firmando en la oscuridad.

Por qué los drenajes parecen una actividad normal

Un operador de drenaje quiere que la cadena parezca aburrida. Blockaid muestra un drenaje de activo nativo enrutado a través de un contrato de enrutador legítimo de SushiSwap, llamando a swapETHForExactTokens, en lugar de una transferencia directa de ETH a una dirección de atacante. El punto no es que SushiSwap esté comprometido.

El punto es que enrutarse a través de un enrutador ampliamente utilizado hace que la transacción se asemeje a un comportamiento de intercambio rutinario.

FinanceFeeds hace la misma observación desde la perspectiva de la víctima: Darktrace rastreó una variante que drenó $470,000 de una sola víctima en dos minutos, y la transacción en cadena “no se ve diferente de un intercambio rutinario de Uniswap.” Esa es la capa de camuflaje. Si el robo se lee como un intercambio, los observadores casuales e incluso algunos heurísticos automatizados pierden tiempo.

Aquí es donde la tesis muerde: la autorización es el producto. Una vez que el atacante tiene una autorización válida, aprobación del operador o firma de permiso, la blockchain lo ejecutará fielmente más tarde, rápido, y de una manera que puede ser enrutada a través de contratos legítimos.

Para los comerciantes y usuarios avanzados, la conclusión operativa es que “detectar el robo en la cadena” es una defensa débil. Para cuando un drenaje parecido a un intercambio es visible, los activos ya se han movido y a menudo ya se han intercambiado por tokens más líquidos.

El momento de mayor señal es antes, en el límite de permiso: indicaciones inesperadas de cambio de cadena, diálogos de conexión repetidos y un sitio que empuja aprobaciones antes de hacer algo útil.

Cómo reducir el riesgo de drenadores

La defensa se trata principalmente de reducir cuánto poder puede otorgar un solo clic y de reducir cuánto valor hay detrás de esa autoridad. FinanceFeeds recomienda comenzar con el panel de "Sitios Conectados" o "Permisos" de la billetera para revocar cualquier cosa que no se use activamente, y luego verificar las aprobaciones de tokens con Revoke.cash. Coca enmarca la revocación como una rutina, no como una emergencia, porque el drenaje puede retrasarse.

Un flujo de trabajo limpio se ve así:

1. Separar roles entre billeteras. Mantén una billetera "bóveda" que nunca se conecte a dApps, y una billetera de gasto o de quemado para acuñaciones, airdrops y nuevos protocolos. Coca recomienda explícitamente esta estructura para limitar el radio de explosión. 2. Trata cada aprobación o firma como una línea de crédito permanente.

Si el aviso muestra ilimitado, asume que el gastador puede retirar el saldo completo más tarde a menos que la dApp ofrezca un límite más estricto. 3. Observa las señales de advertencia de UX que se correlacionan con drenadores. El ejemplo de Blockaid incluye constantes avisos de conexión y una solicitud de wallet_switchEthereumChain que contradice la cadena declarada del sitio. 4. Audita y revoca según un calendario.

FinanceFeeds y Coca apuntan a Revoke.cash y al verificador de aprobaciones de tokens de Etherscan para revisar las asignaciones y revocarlas. 5. Si eres el objetivo, actúa primero sobre los permisos. Desconecta los sitios conectados, revoca aprobaciones y permisos de operadores de NFT, y mueve los fondos restantes a una dirección nueva.

FinanceFeeds enfatiza que el drenador no explota Trust Wallet en sí, y el mismo riesgo se aplica a billeteras calientes como MetaMask y Phantom.

Esta es la parte de las estafas de billeteras de criptomonedas y cómo evitarlas que realmente se sostiene bajo presión: asume que la billetera de gasto eventualmente firmará algo tonto, y diseña el sistema para que ese error sea sobrevivible.

La Conclusión

He visto a demasiadas personas enmarcar un drenador como un "hack" y luego perder la primera hora buscando malware mientras el verdadero problema está en la cadena como un permiso que otorgaron. El costoso cambio mental es tratar las aprobaciones y las firmas de datos escritos como abrir una línea de crédito permanente. Una vez que esa línea existe, el atacante no necesita preguntar de nuevo. Simplemente aparecen más tarde con transferFrom o una transferencia de operador y la cadena lo hace cumplir.

El modo de falla que sigue repitiéndose es la firma ciega disfrazada de un clic inofensivo. El desglose de Blockaid del 2024-10-13 es el ejemplo limpio: eth_signTypedData_v4 cosecha un permiso, luego el drenaje puede ser enrutado a través de un enrutador real para que se lea como un intercambio normal. Las billeteras de hardware mantienen las claves seguras, pero no salvan el juicio. La higiene de permisos sí lo hace.

Fuentes

Frequently Asked Questions

¿Los drainers de billetera necesitan mi frase semilla para robar mi cripto?

A menudo, no. Muchas campañas de drainer de billetera dependen de que firmes una aprobación o una firma estilo permiso que autoriza transferencias. Una vez que existe esa autorización, el atacante puede mover activos sin poseer tu clave privada.

¿Cómo roban los drainers cripto después de que hice clic en aprobar?

Una aprobación ERC-20 crea una asignación para un gastador específico, y ese gastador puede mover tokens más tarde usando transferFrom sin pedirlo de nuevo. Si la aprobación fue ilimitada, el límite es efectivamente tu saldo completo. Algunas campañas retrasan el barrido hasta que recargas la billetera.

¿Qué es el phishing de firma y por qué es peligroso?

El phishing de firma te engaña para que firmes datos estructurados, como un mensaje de datos tipados EIP-712, que pueden ser utilizados para autorizar acciones más tarde. Blockaid muestra a los drainers capturando firmas eth_signTypedData_v4 para obtener aprobaciones de permisos EIP-2612. Las víctimas pueden pensar que solo “firmaron un mensaje”, pero la firma puede ser presentada en la cadena después.

¿Por qué parece que una transacción de drainer de billetera es un intercambio normal en la cadena?

Los drainers pueden enrutear el robo a través de contratos legítimos como los enrutadores DEX, por lo que la transacción se asemeja a un comportamiento de intercambio rutinario. Blockaid muestra un drenaje de activo nativo enrutado a través del enrutador SushiSwap, y FinanceFeeds señala casos donde la traza parece un intercambio típico de Uniswap. Ese camuflaje puede retrasar la detección.

¿Cómo puedo verificar y revocar aprobaciones para detener a un drainer?

Revisa los sitios conectados y los permisos dentro de tu billetera, luego audita las asignaciones de tokens y las aprobaciones de operadores de NFT con herramientas como Revoke.cash o el verificador de aprobaciones de tokens de Etherscan. Si ves gastadores desconocidos o límites ilimitados, revócalos. La revocación es más efectiva antes de que la billetera se recargue nuevamente.