Fuentes verificadas

Cómo verificamos esto

Revisamos las fuentes enlazadas y actualizamos la página cuando cambia el registro. Usa la lista de fuentes abajo para verificar los detalles.

Enlaces de fuentes adjuntos Contexto de seguridad incluido Correcciones abiertas

Key points

En el panorama en rápida evolución de las Finanzas Descentralizadas (DeFi), los contratos inteligentes se han convertido en el motor que impulsa la innovación. Un mecanismo fundamental que permite a estos contratos interactuar con sus activos es la "aprobación de tokens". Si bien es esencial para muchas aplicaciones DeFi, desde intercambios descentralizados hasta protocolos de préstamos, las aprobaciones de tokens representan un punto crítico de vulnerabilidad si no se comprenden y gestionan con diligencia. Esta columna tiene como objetivo desmitificar las aprobaciones de tokens, explicar los riesgos inherentes y proporcionar pasos prácticos para que los lectores salvaguarden sus activos digitales.

Por qué importa este patrón

Las aprobaciones de tokens son una piedra angular de cómo funcionan la mayoría de los tokens ERC-20 (y estándares similares) en blockchains como Ethereum. Permiten que un contrato inteligente gaste una cantidad específica de sus tokens en su nombre, sin requerir que usted esté en línea o apruebe manualmente cada transacción. Esta automatización es lo que hace que DeFi sea fluido, permitiendo funciones como el intercambio de tokens en intercambios descentralizados (DEX) o la provisión de liquidez a granjas de rendimiento. Sin embargo, este permiso delegado es precisamente donde reside el riesgo. Si un contrato inteligente se ve comprometido, o si usted interactúa accidentalmente con uno malicioso, los tokens aprobados pueden ser retirados, a menudo sin más recurso. Comprender este mecanismo es primordial para cualquiera que participe en DeFi.

Lo que muestran las fuentes

Los organismos reguladores y los investigadores de seguridad han destacado constantemente las aprobaciones de tokens como un vector significativo para las pérdidas relacionadas con las criptomonedas. La Comisión de Bolsa y Valores de EE. UU. (SEC), por ejemplo, ha advertido a los inversores sobre los riesgos asociados con la aprobación del gasto de tokens por parte de contratos inteligentes DeFi, enfatizando que tales aprobaciones pueden otorgar un amplio acceso a la billetera de un inversor si no se limitan cuidadosamente. Firmas de seguridad como Chainalysis y TRM Labs documentan con frecuencia cómo los contratos inteligentes comprometidos o los ataques de phishing explotan estas aprobaciones para drenar los fondos de los usuarios. Herramientas como Revoke.cash han surgido específicamente para ayudar a los usuarios a monitorear y revocar estos permisos, lo que subraya la necesidad continua de vigilancia por parte del usuario. Estas fuentes apuntan colectivamente a un patrón en el que la conveniencia de las aprobaciones de tokens puede convertirse en una poderosa herramienta para actores ilícitos.

Cómo funciona el riesgo generalmente

Cuando interactúa con un protocolo DeFi, normalmente necesita aprobar el contrato inteligente del protocolo para acceder a sus tokens. Esto implica firmar una transacción que establece una "asignación", la cantidad máxima de un token específico que el contrato puede retirar de su billetera.

Generalmente hay dos tipos de aprobaciones:

1. Aprobación de cantidad específica: Usted aprueba que el contrato gaste una cantidad definida de tokens.
2. Aprobación ilimitada: Usted aprueba que el contrato gaste una cantidad ilimitada de sus tokens. Esta suele ser la opción predeterminada o la más conveniente que ofrecen algunas dApps, pero también es la más peligrosa.

El peligro surge porque, una vez concedida una aprobación, permanece activa hasta que la asignación se agota o usted la revoca explícitamente. Si un actor malintencionado obtiene el control del contrato inteligente que ha aprobado, puede retirar inmediatamente todos los tokens cubiertos por esa aprobación. Esto podría ocurrir si el propio contrato está mal codificado y es vulnerable a exploits, o si los desarrolladores detrás del protocolo son maliciosos (como en un escenario de "rug pull"). Los intentos de phishing a menudo engañan a los usuarios para que firmen una transacción que otorga a un contrato malicioso una aprobación ilimitada de todo el saldo de sus tokens.

Señales que los lectores pueden verificar

Source-tracked CryptoRescue article.

Afortunadamente, hay varias formas de verificar y gestionar sus aprobaciones de tokens:

  • Revise sus aprobaciones regularmente: Utilice una herramienta de verificación de aprobación de tokens como Revoke.cash o servicios similares proporcionados por los proveedores de billeteras. Estas herramientas se conectan a su billetera y muestran todas las aprobaciones de tokens activas en varios estándares de tokens.
  • Verifique la cantidad de asignación: Al aprobar un token, siempre preste mucha atención a la cantidad que está autorizando. Opte por una cantidad específica y limitada siempre que sea posible, en lugar de una aprobación ilimitada, especialmente para los tokens que tiene en cantidades significativas.
  • Examine las direcciones de los contratos inteligentes: Antes de aprobar cualquier transacción, verifique la dirección del contrato inteligente. Los actores malintencionados a menudo crean contratos o sitios de phishing que se parecen a los protocolos legítimos. Verifique la documentación oficial de la dApp que está utilizando para encontrar la dirección correcta del contrato.
  • Comprenda el "por qué": Pregúntese por qué una dApp en particular necesita una aprobación ilimitada para un token. Para la mayoría de las operaciones estándar, como el intercambio o la provisión de liquidez, una aprobación específica y limitada es suficiente. Las aprobaciones ilimitadas suelen ser una señal de alerta.
  • Tenga cuidado con las solicitudes inesperadas: Si una billetera o dApp le pide que apruebe un token con el que no recuerda haber interactuado, o si la solicitud parece inusual, extreme las precauciones.

Lo que queda por probar

Si bien podemos identificar los riesgos y las estrategias de gestión para las aprobaciones de tokens, cuantificar con precisión el valor total perdido a nivel mundial debido a aprobaciones comprometidas es un desafío. Muchas pérdidas no se informan públicamente, y atribuirlas únicamente a una aprobación inicial puede ser complejo, ya que a menudo implica una cadena de eventos que incluyen exploits de contratos inteligentes o errores del usuario. Además, la naturaleza en constante evolución de DeFi significa que siempre están surgiendo nuevos vectores de ataque, lo que dificulta mantener una postura perpetuamente segura sin un aprendizaje y una adaptación continuos. El número exacto de contratos explotados y el valor total bloqueado en ellos en un momento dado también es una cifra dinámica.

Qué observará CryptoRescue a continuación

CryptoRescue continuará monitoreando los desarrollos en la seguridad de DeFi, con un enfoque particular en los patrones emergentes en las vulnerabilidades de los contratos inteligentes y las nuevas técnicas de exploit relacionadas con las aprobaciones de tokens. Realizaremos un seguimiento de los informes de los investigadores de seguridad, las advertencias regulatorias y los datos en cadena para identificar posibles riesgos. Nuestro objetivo es proporcionar actualizaciones oportunas y orientación práctica sobre cómo los usuarios pueden navegar por estas amenazas en evolución. También analizaremos cómo los proveedores de billeteras y las empresas de análisis de blockchain están mejorando sus herramientas para ayudar a los usuarios a gestionar mejor sus aprobaciones de tokens y detectar actividades maliciosas.

AcciónHerramienta/MétodoEnfoque de verificaciónRiesgo mitigado
Revisar aprobacionesRevoke.cash o similarLista de asignaciones de tokens activasAprobaciones no utilizadas o excesivas a largo plazo
Limitar el acceso a tokensInterfaz de billetera/dAppCantidad de aprobación (específica vs. ilimitada)Exceso de permisos de contratos maliciosos
Verificar la legitimidad del contratoExplorador de bloques/DocumentosDirección del contrato inteligente, historial de transaccionesInteracción con contratos falsos o comprometidos
Comprender la necesidadDocumentación del protocoloFundamento para requerir la aprobación del tokenSolicitudes de aprobación innecesarias o sospechosas
Revocar aprobaciones no utilizadasRevoke.cash o similarEjecución de una transacción de revocaciónPosible explotación futura de aprobaciones obsoletas

Lista de verificación de verificación para aprobaciones de tokens:

1. Verifique sus aprobaciones de tokens activas: Utilice regularmente un servicio como Revoke.cash para ver todas sus asignaciones de tokens actuales.
2. Revise la cantidad de asignación para cada token: Asegúrese de que las aprobaciones sean por cantidades específicas y necesarias, no ilimitadas, a menos que sea absolutamente esencial y bien entendido.
3. Verifique la dirección del contrato inteligente: Antes de aprobar, compare la dirección del contrato con la documentación oficial del protocolo DeFi.
4. Cuestione las solicitudes de aprobación inusuales: Si un aviso parece inesperado o solicita más permisos de los que anticipa, investigue más a fondo antes de continuar.
5. Revocar cualquier aprobación obsoleta o innecesaria: Limpie periódicamente sus aprobaciones activas, especialmente para los protocolos que ya no usa o en los que ya no confía.
6. Comprenda el propósito del token: Tenga claro por qué un protocolo necesita gastar un token en particular antes de otorgar la aprobación.

Al mantenerse informado y practicar una gestión diligente de la billetera, los usuarios pueden reducir significativamente los riesgos asociados con las aprobaciones de tokens y participar de manera más segura en el ecosistema DeFi.

Registro de actualizaciones

  1. 14 jul 2026Publicado con seguimiento de fuentes y contexto de seguridad para lectores.
  2. CorreccionesSi una fuente cambia o una afirmación necesita aclaración, esta página puede actualizarse desde la redacción.