Comprendiendo los riesgos de las aprobaciones de tokens en su billetera de criptomonedas

Al interactuar con la web descentralizada, los usuarios a menudo otorgan permisos a los contratos inteligentes para interactuar con sus activos digitales. Una de las más comunes y potencialmente riesgosa de estas autorizaciones es la "aprobación de tokens". Si bien es necesaria para que muchas aplicaciones descentralizadas (dApps) funcionen, comprender las implicaciones de estas aprobaciones es crucial para salvaguardar su criptomoneda. Esta columna profundiza en la mecánica de las aprobaciones de tokens, los riesgos inherentes y los pasos accionables que los lectores pueden tomar para administrar estos permisos de manera efectiva.

La capacidad de otorgar y revocar aprobaciones de tokens es un aspecto fundamental de la interacción de contratos inteligentes en blockchains como Ethereum. Permite a los usuarios autorizar a un contrato inteligente específico para gastar o transferir sus tokens en su nombre, lo que habilita funcionalidades como intercambios descentralizados (DEX), protocolos de préstamos y mercados de NFT. Sin embargo, esta poderosa característica también es un objetivo principal para actores maliciosos. Si un contrato inteligente se ve comprometido, o si un usuario interactúa inadvertidamente con uno fraudulento, estas aprobaciones pueden dar a los atacantes acceso directo a los fondos de un usuario sin requerir su consentimiento explícito para cada transacción. Esto ha provocado pérdidas significativas para usuarios desprevenidos que pueden no comprender completamente el alcance de los permisos que están otorgando.

Los investigadores de seguridad y los exploradores de blockchain destacan constantemente las aprobaciones de tokens como un vector de ataque significativo. Por ejemplo, plataformas como Revoke.cash permiten a los usuarios ver y administrar sus aprobaciones de tokens, revelando el alcance de los permisos otorgados en varios contratos inteligentes. Etherscan, un popular explorador de bloques, también proporciona herramientas para inspeccionar las aprobaciones de tokens asociadas con una dirección.

Organismos oficiales como la Comisión de Bolsa y Valores de EE. UU. (SEC) y la Comisión Federal de Comercio (FTC) han emitido advertencias sobre estafas de criptomonedas, cubriendo implícitamente los riesgos asociados con el acceso no autorizado a fondos, que las aprobaciones de tokens pueden facilitar. Si bien no siempre nombran explícitamente las "aprobaciones de tokens", su orientación sobre la protección de los activos digitales contra estafas y esquemas fraudulentos es directamente relevante. Las auditorías de seguridad de las dApps y los informes de las empresas de análisis de blockchain subrayan aún más la importancia de examinar y administrar estos permisos.

Una aprobación de token es esencialmente una directiva a un contrato inteligente que dice: "Se le permite mover X cantidad de mis tokens [Nombre del token]". Esto generalmente se hace llamando a la función `approve` en el contrato inteligente de un token. La función generalmente toma dos argumentos: la dirección del gastador (el contrato inteligente autorizado para acceder a los tokens) y el `amount` (el número máximo de tokens a los que el gastador puede acceder).

• Aprobaciones ilimitadas: Los usuarios pueden aprobar un contrato inteligente para una cantidad "ilimitada" de tokens (representada por un número muy grande, a menudo `2^256 - 1`). Si este contrato se ve comprometido o es malicioso, puede drenar todos los tokens específicos de la billetera del usuario.
• Contratos inteligentes maliciosos: Los estafadores crean dApps falsas o explotan vulnerabilidades en las legítimas. Al engañar a los usuarios para que aprueben tokens para estos contratos maliciosos, obtienen la capacidad de robar fondos directamente.
• Ataques de phishing: Los intentos de phishing a menudo llevan a los usuarios a sitios web que les piden que firmen una transacción que es, en realidad, una aprobación de token para el contrato de un estafador.
• dApps explotadas: Incluso las dApps legítimas pueden ser explotadas. Si el contrato inteligente de una dApp se ve comprometido, cualquier token aprobado para ese contrato se vuelve vulnerable.

Source-tracked CryptoRescue article.

• Dirección del contrato: Verifique siempre la dirección del contrato inteligente. Los estafadores a menudo crean direcciones casi idénticas con ligeras variaciones. Utilice fuentes de buena reputación como CoinMarketCap, CoinGecko o la documentación oficial del proyecto para encontrar las direcciones de contrato correctas.
• Propósito de la aprobación: Comprenda *por qué* una dApp solicita una aprobación. ¿La funcionalidad lo requiere lógicamente? Por ejemplo, un intercambio descentralizado necesita aprobación para mover tokens para operaciones, pero un sitio web informativo simple no debería.
• Cantidad de aprobación: Siempre que sea posible, apruebe solo la cantidad específica de tokens necesarios para una transacción particular, en lugar de una cantidad ilimitada. Algunas dApps pueden requerir aprobaciones ilimitadas por conveniencia, pero esto aumenta significativamente el riesgo.
• Herramientas de gestión de permisos: Utilice regularmente herramientas como Revoke.cash o la página de aprobaciones de tokens de Etherscan para revisar todas las aprobaciones activas asociadas con su billetera.

Source-tracked CryptoRescue article.

• Revoque aprobaciones no utilizadas: Revise periódicamente sus aprobaciones de tokens activas y revoque cualquier aprobación que ya no sea necesaria o que no reconozca. Este es un paso crítico para minimizar su superficie de ataque.
• Utilice una billetera dedicada para dApps: Considere usar una dirección de billetera separada para interactuar con dApps. De esta manera, si esa billetera se ve comprometida, sus tenencias principales en otras billeteras permanecen seguras.
• Tenga cuidado con las transacciones "sin gas": Algunas estafas de phishing ofrecen transacciones "sin gas", que a menudo implican una aprobación de token maliciosa disfrazada de transacción gratuita.
• Comprender los detalles de la transacción: Lea siempre los detalles de cualquier transacción que esté a punto de firmar. Busque palabras clave como "approve", "transferFrom" o grandes valores numéricos que puedan indicar una aprobación ilimitada.

Si bien la mecánica de las aprobaciones de tokens se comprende bien, la atribución precisa de pérdidas específicas a exploits de aprobación de tokens a veces puede ser un desafío sin un análisis forense profundo. El número exacto de usuarios que han perdido fondos debido a aprobaciones ilimitadas versus aquellos que firmaron contratos maliciosos puede ser difícil de cuantificar definitivamente, ya que muchos incidentes no se informan públicamente con tanto detalle granular. Además, la naturaleza cambiante de los exploits de contratos inteligentes significa que pueden surgir nuevos métodos para abusar de las aprobaciones de tokens.

CryptoRescue continuará monitoreando las tendencias en el abuso de aprobaciones de tokens. Esto incluye el seguimiento de nuevos tipos de exploits de contratos inteligentes, la aparición de campañas de phishing sofisticadas dirigidas a las aprobaciones de tokens y la efectividad de las herramientas orientadas al usuario diseñadas para administrar estos permisos. También estaremos atentos a los desarrollos regulatorios y las mejores prácticas de la industria destinadas a mejorar la seguridad del usuario en el ecosistema descentralizado.

Source-tracked CryptoRescue article.

¿Puede identificar el propósito de cada aprobación de token actualmente activa en su billetera?
3. ¿Ha revocado alguna aprobación de token que ya no esté en uso o asociada con servicios que ya no utiliza?
4. Antes de interactuar con una nueva dApp, ¿verifica la dirección del contrato inteligente con fuentes oficiales?
5. Cuando se le solicite una aprobación de token, ¿verifica si se solicita una aprobación "ilimitada" y considera si una aprobación limitada es factible?
6. ¿Comprende que firmar una transacción que parece "sin gas" aún podría conllevar riesgos significativos, como una aprobación de token?