El arte sutil de las aprobaciones de tokens: protegiendo sus activos digitales

En el dinámico mundo de las Finanzas Descentralizadas (DeFi), la concesión de "aprobaciones de tokens" es un mecanismo necesario, aunque a menudo incomprendido, que permite a los contratos inteligentes interactuar con sus activos digitales. Aunque esenciales para usar aplicaciones descentralizadas (dApps), estas aprobaciones también pueden representar una vulnerabilidad de seguridad significativa si no se gestionan con cuidado. Esta columna profundiza en las complejidades de las aprobaciones de tokens, los riesgos que plantean y cómo puede salvaguardar proactivamente su criptomoneda.

El atractivo de DeFi reside en su naturaleza sin permisos, lo que permite a los usuarios prestar, pedir prestado, comerciar y apostar activos sin intermediarios. Sin embargo, esta libertad conlleva la responsabilidad de comprender la tecnología subyacente. Las aprobaciones de tokens son un excelente ejemplo. Cuando conecta su billetera a una dApp e interactúa con un token (como ERC-20 en Ethereum), normalmente le otorga a esa dApp permiso para gastar una cierta cantidad de sus tokens. Esto se hace firmando una transacción que aprueba que el contrato inteligente de la dApp mueva sus tokens de su billetera a su propio contrato, a menudo hasta un límite especificado, o en algunos casos, una cantidad ilimitada.

El problema surge cuando estas aprobaciones se olvidan, se otorgan a contratos maliciosos o cuando la propia dApp se ve comprometida. Sin la supervisión adecuada, estos permisos aparentemente inocuos pueden convertirse en una puerta de entrada para el acceso no autorizado y el robo de sus fondos.

Los investigadores de seguridad y las plataformas dedicadas al análisis de blockchain destacan constantemente las aprobaciones de tokens como un vector común para el robo de criptomonedas. Han surgido sitios web como Revoke.cash específicamente para ayudar a los usuarios a auditar y gestionar estos permisos. Etherscan, un explorador de blockchain ampliamente utilizado, también proporciona herramientas para ver y gestionar las aprobaciones de tokens para direcciones específicas.

Los reguladores, como la Comisión de Bolsa y Valores de EE. UU. (SEC) a través de su portal Investor.gov, advierten con frecuencia sobre los riesgos inherentes en el espacio criptográfico, incluidos los derivados de las interacciones con contratos inteligentes. Si bien no siempre detallan explícitamente las "aprobaciones de tokens", sus advertencias sobre estafas que involucran el acceso no autorizado a activos digitales se aplican directamente.

El problema central es que una vez que se otorga una aprobación, permanece activa hasta que el usuario la revoca o la dApp gasta completamente la cantidad aprobada. Los actores maliciosos explotan esto creando dApps falsas, sitios web de phishing que imitan servicios legítimos, o explotando vulnerabilidades en dApps existentes para drenar los fondos de los usuarios a través de aprobaciones de tokens preexistentes y amplias.

Source-tracked CryptoRescue article.

1. Ataques de phishing: Un usuario se encuentra con una dApp o sitio web falso que se ve idéntico a un protocolo DeFi legítimo. Conectan su billetera y, para realizar una acción deseada (p. ej., reclamar un airdrop, participar en una oferta especial), otorgan aprobaciones de tokens. El contrato malicioso tiene entonces permiso para retirar cualquier token aprobado.
2. Contratos inteligentes explotados: Una dApp legítima podría ser auditada y parecer segura. Sin embargo, podría descubrirse y explotarse una vulnerabilidad previamente desconocida. Si un usuario ha otorgado previamente una aprobación de token amplia a esta dApp, los atacantes pueden aprovechar la explotación para drenar esos tokens aprobados directamente de la billetera del usuario.
3. Contratos de tokens maliciosos: Los usuarios podrían interactuar con tokens recién lanzados, potencialmente estafas. Algunos de estos tokens están diseñados con funciones de aprobación maliciosas que, al interactuar, otorgan al propio contrato del token permisos amplios sobre otros tokens ERC-20 en la billetera del usuario.
4. Permisos excesivos: Los usuarios podrían otorgar aprobaciones ilimitadas ("aprobaciones infinitas") a dApps en las que confían por conveniencia. Si bien esto simplifica las interacciones futuras, aumenta significativamente el riesgo si esa dApp alguna vez se ve comprometida o si el usuario es víctima de un ataque de phishing dirigido a esa dApp específica.

El peligro es que estas aprobaciones pueden ser para cualquier token ERC-20, no solo para el que está interactuando actualmente. Esto significa que una aprobación aparentemente pequeña para un nuevo proyecto NFT podría dar inadvertidamente a un estafador acceso a todas sus tenencias de Ether, stablecoins u otros tokens valiosos.

Afortunadamente, hay señales y acciones claras que los usuarios pueden tomar para identificar y mitigar estos riesgos:

• Revisión de aprobaciones: Es crucial verificar regularmente las aprobaciones de tokens activas de su billetera. Herramientas como Revoke.cash y el rastreador de aprobación de tokens de Etherscan le permiten ver exactamente qué dApps tienen permiso para acceder a sus tokens y cuánto pueden acceder.
• Límites de aprobación: Preste mucha atención al monto de la aprobación. Otorgar una cantidad específica y limitada es generalmente más seguro que otorgar una aprobación ilimitada o "infinita", especialmente para dApps que no usa con frecuencia o para funciones menos críticas.
• Direcciones de contrato: Antes de otorgar cualquier aprobación, verifique la dirección del contrato inteligente de la dApp con la que está interactuando. Los estafadores a menudo crean direcciones de contrato casi idénticas a las legítimas. Utilice fuentes confiables como DeFiLlama o la documentación oficial del proyecto para encontrar las direcciones correctas.
• Detalles de la transacción: Revise siempre cuidadosamente los detalles de cualquier transacción que se le pida que firme. Busque señales de permisos inesperados o cantidades inusualmente altas. Si es una aprobación de token, asegúrese de que se alinee con la acción que pretende realizar.
• Reputación de la dApp: Interactúe solo con protocolos DeFi bien establecidos y de buena reputación. Investigue el proyecto, verifique los comentarios de la comunidad y busque auditorías de empresas de seguridad de buena reputación.

Si bien el mecanismo de las aprobaciones de tokens se comprende bien, la escala exacta de los fondos perdidos únicamente debido a aprobaciones olvidadas o explotadas es difícil de cuantificar con precisión. Muchos fondos robados se reportan como "hacks" o "estafas" generales, y aislar el papel específico de una aprobación de token persistente puede ser un desafío sin un análisis forense detallado en la cadena.

Además, las implicaciones a largo plazo de otorgar aprobaciones a protocolos que pueden verse comprometidos o volverse insolventes más tarde no siempre son inmediatamente aparentes. Los usuarios pueden otorgar aprobaciones a una dApp hoy, olvidarse de ella y solo darse cuenta del riesgo años después cuando el código de la dApp es explotado o su propia billetera es atacada.

CryptoRescue seguirá monitoreando los desarrollos en la seguridad de los contratos inteligentes y las tácticas cambiantes de los estafadores de criptomonedas. Prestaremos mucha atención a:

• Nuevos métodos de explotación: Seguimiento de las técnicas emergentes utilizadas por los atacantes para aprovechar las aprobaciones de tokens.
• Adopción de herramientas de revocación: Observación de los patrones de uso y la efectividad de herramientas como Revoke.cash y servicios similares.
• Orientación regulatoria: Seguimiento de cualquier nueva advertencia de los reguladores financieros con respecto a los riesgos de los contratos inteligentes y la protección del usuario.
• Actualizaciones de seguridad del protocolo DeFi: Informes sobre incidentes de seguridad significativos relacionados con los protocolos DeFi y su impacto en las aprobaciones de los usuarios.

Para gestionar eficazmente sus aprobaciones de tokens y mejorar su seguridad criptográfica, siga estos pasos:

Al comprender las aprobaciones de tokens y tomar medidas proactivas para gestionarlas, puede reducir significativamente su exposición a exploits comunes de DeFi y proteger sus valiosos activos digitales. Trate cada aprobación como un riesgo potencial y mantenga una supervisión vigilante de los permisos de su billetera.