Cómo verificamos esto
Revisamos las fuentes enlazadas y actualizamos la página cuando cambia el registro. Usa la lista de fuentes abajo para verificar los detalles.
Key points
En el intrincado mundo de las criptomonedas, donde la descentralización y el control del usuario son primordiales, comprender la mecánica detrás de sus activos digitales es crucial. Uno de esos mecanismos, a menudo pasado por alto por muchos usuarios, es la «aprobación de tokens». Aunque son esenciales para la funcionalidad de las aplicaciones descentralizadas (dApps), las aprobaciones de tokens también pueden ser un vector significativo para estafas sofisticadas y la pérdida involuntaria de activos. Esta columna profundiza en la naturaleza de las aprobaciones de tokens, los riesgos que conllevan y los pasos prácticos que puede tomar para proteger sus criptomonedas.
Por qué este patrón es importante
El atractivo de DeFi, los NFT y diversas dApps a menudo viene con el requisito de otorgar a estas aplicaciones permiso para interactuar con sus activos digitales. Aquí es donde entran en juego las aprobaciones de tokens, o «asignaciones». Son funciones de contrato inteligente que permiten a una dirección específica (a menudo el contrato de una dApp) gastar una cierta cantidad de sus tokens de su billetera. Si bien están destinadas a casos de uso legítimos, como el intercambio de tokens en un intercambio descentralizado (DEX) o la participación en grupos de liquidez, los actores maliciosos han ideado formas de explotar estos permisos, lo que lleva a pérdidas financieras significativas. Comprender este patrón es vital para cualquiera que interactúe con el ecosistema criptográfico más amplio más allá de la simple tenencia.
Lo que muestran las fuentes
Los organismos reguladores y los investigadores de seguridad han resaltado cada vez más los peligros asociados con las aprobaciones de tokens sin control. La Comisión de Bolsa y Valores de EE. UU. (SEC), por ejemplo, ha tomado medidas de cumplimiento relacionadas con las vulnerabilidades de los contratos inteligentes y el acceso no autorizado a activos que pueden derivarse de aprobaciones mal administradas. Plataformas de seguridad como Revoke.cash, dedicadas a ayudar a los usuarios a administrar sus asignaciones de tokens, han publicado guías extensas que explican cómo funcionan estas aprobaciones y los riesgos inherentes. Alexandria de CoinMarketCap también proporciona contenido educativo sobre las aprobaciones de tokens, enfatizando su doble naturaleza como una necesidad funcional y una posible vulnerabilidad de seguridad. Estas fuentes subrayan colectivamente que, si bien las aprobaciones de tokens son una parte fundamental de muchas interacciones blockchain, requieren una supervisión diligente por parte del usuario.
Cómo funciona el riesgo normalmente
El núcleo del riesgo de aprobación de tokens radica en la «aprobación infinita» o las asignaciones excesivamente generosas. Cuando interactúa con una dApp, es posible que se le solicite que apruebe su contrato inteligente para gastar sus tokens. A veces, esta aprobación se establece en una cantidad ilimitada, lo que significa que el contrato de la dApp puede retirar cualquier cantidad de ese token específico de su billetera sin más interacción o confirmación de su parte.
Los estafadores explotan esto de varias maneras:
DApps maliciosas: una dApp falsa o comprometida podría engañar a los usuarios para que otorguen aprobaciones excesivas. Una vez aprobado, el contrato malicioso puede drenar todos los tokens de ese tipo del usuario.
2. Phishing a través de aprobaciones: los usuarios podrían ser atraídos a un sitio web de phishing que imita una dApp legítima. El sitio de phishing luego activa una transacción de aprobación de token, otorgando al estafador acceso a los fondos del usuario.
3. Explotación de aprobaciones antiguas: incluso las dApps legítimas pueden verse comprometidas, o sus contratos pueden tener vulnerabilidades. Si existe una aprobación antigua y olvidada a un contrato comprometido, sus fondos pueden estar en riesgo.
4. Estafas de «aprobar para interactuar»: algunas estafas presentan una transacción aparentemente inofensiva que es, en realidad, una aprobación a un contrato malicioso. El usuario cree que está realizando una acción, pero otorga un amplio poder de gasto.
El peligro se amplifica porque una vez que se otorga una aprobación, permanece activa hasta que se revoca o se gasta la cantidad aprobada. Esto crea una vulnerabilidad persistente si la dirección aprobada se vuelve maliciosa o comprometida.
Señales que los lectores pueden verificar
Afortunadamente, existen pasos concretos que puede seguir para identificar y administrar sus aprobaciones de tokens. La clave es monitorear y revocar proactivamente cualquier permiso innecesario o excesivo.
Aquí hay un desglose de qué buscar y cómo verificar:
- Verifique sus asignaciones regularmente: use herramientas dedicadas como Revoke.cash, el Verificador de aprobación de tokens de Etherscan o servicios similares en otras cadenas de bloques. Estas plataformas escanean su billetera y enumeran todas las aprobaciones de tokens activas.
- Examine la cantidad aprobada: preste mucha atención a la «cantidad» o «asignación» para cada token. Si está configurada como «ilimitada», «máxima» o un número arbitrario muy alto, tenga mucho cuidado. Las dApps legítimas que requieren un gasto significativo suelen tener una cantidad específica y limitada o están diseñadas para transacciones de un solo uso.
- Identifique al gastador aprobado: comprenda qué contrato o dirección ha recibido permiso. ¿Corresponde a una dApp que usa y en la que confía activamente? Si la dirección del gastador parece sospechosa o no es familiar, es una señal de alerta importante.
- Revise los detalles de la transacción: antes de firmar cualquier transacción que implique aprobaciones de tokens, lea atentamente los detalles presentados por su billetera. Busque palabras clave como «aprobar», «asignación», «gastar» o nombres de tokens específicos con cantidades asociadas.
- Tenga cuidado con las ofertas «gratuitas»: si una plataforma promete tokens, NFT u otras recompensas gratuitas a cambio de una aprobación de token, es muy probable que sea una estafa. Los airdrops o recompensas legítimos generalmente no requieren que usted otorgue poder de gasto ilimitado de antemano.
Lo que sigue sin probarse
Si bien la mecánica de las aprobaciones de tokens y su explotación se comprenden bien, probar definitivamente la intención detrás de cada aprobación comprometida puede ser un desafío sin un análisis forense profundo. Puede ser difícil determinar si un usuario fue engañado por un sofisticado ataque de phishing, interactuó sin saberlo con un contrato malicioso, o si una dApp legítima fue genuinamente comprometida. Además, el impacto financiero exacto en los usuarios individuales puede ser difícil de cuantificar con precisión, especialmente si no son conscientes del alcance total de sus activos drenados o si se explotaron múltiples aprobaciones con el tiempo. La atribución de una explotación específica a un grupo o individuo en particular a menudo requiere una extensa investigación en cadena por parte de empresas especializadas.
Lo que CryptoRescue observará a continuación
CryptoRescue continuará monitoreando las tendencias en las explotaciones de aprobación de tokens, prestando mucha atención a los nuevos vectores de estafa y las dApps emergentes que podrían presentar riesgos novedosos. Haremos un seguimiento de las acciones regulatorias y las actualizaciones de cumplimiento de organismos como la SEC y otros, ya que a menudo arrojan luz sobre las metodologías de estafa predominantes. Nuestro enfoque también estará en analizar las prácticas de seguridad de las dApps y billeteras populares, identificando cualquier patrón de vulnerabilidades o problemas que enfrentan los usuarios relacionados con las aprobaciones de tokens. También analizaremos la efectividad de las herramientas orientadas al usuario para administrar las aprobaciones y cualquier nuevo desarrollo en la auditoría de contratos inteligentes que pueda mitigar estos riesgos.
Lista de verificación de verificación de aprobación de tokens
| Punto de control | Acción | Estado (OK/Necesita revocar) | Notas |
|---|---|---|---|
| Herramienta de revisión de asignaciones | Conecte su billetera a Revoke.cash o un servicio equivalente. | Liste todas las aprobaciones de tokens activas. | |
| Verificar dirección del gastador | Identifique la dirección a la que se le ha otorgado permiso para cada token. | ¿Es esta una dApp que reconoce y en la que confía? | |
| Examinar cantidad de asignación | Verifique la cantidad aprobada para cada token (por ejemplo, ilimitada, máxima, cantidad específica). | Las aprobaciones «ilimitadas» o «máximas» son de alto riesgo. | |
| Evaluar relevancia del token | Determine si aún necesita que este token en particular sea aprobado para este gastador específico. | Si no se usa o es innecesario, revóquelo. | |
| Buscar aprobaciones antiguas | Busque aprobaciones realizadas hace mucho tiempo a dApps que ya no usa. | Estos son objetivos principales para riesgos de explotación latentes. | |
| Considerar tarifas de gas | Tenga en cuenta que la revocación de tokens también cuesta tarifas de gas, que varían según la congestión de la red. | Tenga esto en cuenta al decidir revocar múltiples aprobaciones pequeñas. | |
| Confirmar revocación | Después de iniciar una transacción de revocación, confirme que se ha procesado en la cadena de bloques. | Asegúrese de que la aprobación ya no esté activa. |
Registro de actualizaciones
- 12 jul 2026Publicado con seguimiento de fuentes y contexto de seguridad para lectores.
- CorreccionesSi una fuente cambia o una afirmación necesita aclaración, esta página puede actualizarse desde la redacción.