Cómo verificamos esto
Revisamos las fuentes enlazadas y actualizamos la página cuando cambia el registro. Usa la lista de fuentes abajo para verificar los detalles.
Key points
En el intrincado mundo de las finanzas descentralizadas (DeFi) y las interacciones blockchain, las aprobaciones de tokens son un mecanismo fundamental que permite que los contratos inteligentes interactúen con sus activos digitales. Si bien son esenciales para la funcionalidad de muchas aplicaciones descentralizadas (dApps), también representan una vulnerabilidad de seguridad significativa, a menudo subestimada. Comprender cómo funcionan las aprobaciones de tokens, los riesgos que introducen y cómo gestionarlos de manera efectiva es primordial para cualquiera que se involucre con el ecosistema criptográfico.
Esta columna profundizará en la mecánica de las aprobaciones de tokens, explorará los riesgos reales que plantean y proporcionará pasos prácticos para verificar y mitigar posibles amenazas, basándose en la información de investigadores de seguridad y advertencias regulatorias.
Por qué las aprobaciones de tokens son importantes para sus activos
En esencia, una aprobación de token es una directriz que usted le da a un contrato inteligente, autorizándolo a gastar una cierta cantidad de sus tokens en su nombre. Esto se hace típicamente cuando interactúa con una dApp, como un intercambio descentralizado (DEX) o un protocolo de cultivo de rendimiento. Por ejemplo, cuando desea intercambiar un token por otro en un DEX, primero debe aprobar el contrato inteligente del DEX para que acceda a sus tokens. Esta aprobación puede ser por una cantidad ilimitada o una cantidad específica y limitada.
Sin este mecanismo de aprobación, cada transacción requeriría una autorización separada, lo que haría que la experiencia del usuario fuera engorrosa. Las aprobaciones de tokens agilizan este proceso, lo que permite una interacción fluida con el creciente panorama de DeFi. Sin embargo, esta conveniencia conlleva riesgos inherentes si no se gestiona correctamente.
Lo que las fuentes muestran sobre los riesgos de aprobación
Los investigadores de seguridad y los organismos reguladores han destacado constantemente las aprobaciones de tokens como un vector principal para el robo de criptomonedas. Los drenadores de monederos, un tipo notorio de malware, a menudo explotan las aprobaciones de tokens excesivamente permisivas. Estos contratos inteligentes maliciosos engañan a los usuarios para que firmen transacciones de aprobación que otorgan al atacante acceso ilimitado a tokens específicos o incluso a todos los tokens dentro de un monedero.
La Comisión de Bolsa y Valores de EE. UU. (SEC), por ejemplo, ha presentado cargos contra personas involucradas en esquemas criptográficos fraudulentos que a menudo aprovechan prácticas engañosas para obtener acceso no autorizado a los fondos de los usuarios. Si bien no siempre está directamente relacionado con las aprobaciones de tokens, el principio subyacente de engañar a los usuarios para que renuncien al control de sus activos es común. Empresas de seguridad como Chainalysis y TRM Labs documentan con frecuencia cómo los atacantes explotan las vulnerabilidades, siendo las aprobaciones de tokens excesivamente amplias un tema recurrente en sus informes sobre hacks sofisticados.
El problema central es que una vez que se otorga una aprobación, esta permanece activa hasta que se revoca o se gasta la cantidad aprobada. Los atacantes pueden explotar este permiso persistente, incluso si ya no usa activamente la dApp.
Cómo funciona el riesgo habitualmente
El flujo de ataque típico que involucra aprobaciones de tokens a menudo comienza con un intento de phishing o una dApp maliciosa. Los usuarios pueden ser atraídos a un sitio web falso que imita un DEX o protocolo DeFi legítimo. Aquí, se les solicita que “conecten su monedero” y luego que “aprueben” tokens para una acción específica, como reclamar un airdrop, participar en un nuevo fondo de liquidez o incluso “asegurar” sus tenencias existentes contra una amenaza percibida.
La parte crítica es la transacción de aprobación en sí. El atacante crea un contrato inteligente que solicita una aprobación “infinita” para un estándar de token particular (como ERC-20 en Ethereum). Si el usuario firma esta transacción sin examinar a fondo los detalles, sin saberlo, le otorga al atacante la capacidad de transferir cualquier cantidad de ese token de su monedero a la dirección del atacante en cualquier momento.
Otra táctica común implica tokens o contratos de “honeypot” diseñados para atrapar a los usuarios. Podría aprobar un token, pero cuando intenta venderlo, descubre que no puede, o la transacción falla. Mientras tanto, la aprobación inicial permanece, lo que permite al atacante drenar sus otros tokens, más valiosos.
Señales que los lectores pueden verificar
Afortunadamente, existen varias formas de verificar y administrar sus aprobaciones de tokens para mitigar estos riesgos:
- Revise las dApps conectadas: Verifique regularmente qué aplicaciones tienen acceso a su monedero. La mayoría de las interfaces de monedero (como MetaMask, Trust Wallet) proporcionan una sección para ver las dApps conectadas y sus permisos.
- Examine los detalles de la aprobación: Antes de firmar cualquier transacción, revise cuidadosamente los detalles presentados por su monedero. Busque la función “aprobar” y verifique la cantidad especificada. Si dice “infinito” o un número muy grande y arbitrario, sea extremadamente cauteloso.
- Comprenda los estándares de tokens: Familiarícese con los estándares de tokens comunes (por ejemplo, ERC-20, ERC-721). Aprobar un contrato de token ERC-20 le da permiso sobre sus tokens fungibles.
- Monitoree la actividad del monedero: Esté atento al historial de transacciones de su monedero para detectar cualquier aprobación o transferencia de tokens inesperada.
Lo que no se ha demostrado
Si bien el mecanismo de las aprobaciones de tokens y su explotación se comprende bien, determinar el origen exacto de todos los contratos maliciosos puede ser un desafío. Los atacantes a menudo operan a través de monederos anonimizados y redes sofisticadas, lo que dificulta la atribución definitiva sin una extensa forense de blockchain. Además, el aspecto psicológico de la ingeniería social (cómo se persuade a los usuarios para que firmen estas aprobaciones) es una amenaza en constante evolución que es difícil de cuantificar. El gran volumen de dApps y contratos inteligentes significa que se requiere una vigilancia constante, ya que pueden surgir rápidamente nuevos esquemas fraudulentos.
Lo que CryptoRescue observará a continuación
CryptoRescue continuará monitoreando las tendencias emergentes en las exploits de aprobación de tokens y las tácticas de drenaje de monederos. Realizaremos un seguimiento de los informes de las empresas de seguridad y los organismos reguladores para identificar nuevas técnicas de phishing y patrones de contratos inteligentes maliciosos. Además, nos centraremos en cómo los desarrolladores de dApps están implementando mecanismos de aprobación más seguros y cómo los proveedores de monederos están mejorando las advertencias para el usuario. Nuestro objetivo es proporcionar inteligencia oportuna y procesable para ayudar a nuestros lectores a navegar por estos riesgos.
---
Cómo verificar y revocar aprobaciones de tokens: una lista de verificación
| Punto de control | Acción | Fuente/Herramienta | Mitigación del nivel de riesgo |
|---|---|---|---|
| dApps conectadas | Enumere todas las dApps actualmente conectadas a su monedero. | Interfaz de monedero (por ejemplo, MetaMask) | Medio |
| Cantidades de aprobación | Para cada dApp, verifique la cantidad aprobada para cada token. Priorice la revocación de aprobaciones infinitas. | Interfaz de monedero o herramientas de revocación dedicadas | Alto |
| Aprobaciones no utilizadas | Identifique y revoque las aprobaciones para dApps que ya no usa o en las que no confía. | Revoke.cash, Etherscan Token Approvals | Alto |
| Transacciones sospechosas | Revise las aprobaciones recientes para detectar cualquier que parezca inusual o que se haya firmado bajo coacción. | Explorador de blockchain (por ejemplo, Etherscan) | Alto |
| Especificidad del token | Comprenda a qué tokens se aplica cada aprobación. Evite aprobaciones amplias si es posible. | Código de contrato inteligente (para desarrolladores), Interfaz de monedero | Medio |
| Transacción de revocación | Inicie una transacción para revocar una aprobación, asegurándose de que se confirme en la blockchain. | Revoke.cash, Interfaz de monedero | Alto |
| Nuevas interacciones con dApps | Extreme la precaución al aprobar tokens para dApps nuevas o desconocidas. | Debida diligencia del usuario | Muy alto |
Pasos prácticos de verificación
1. Acceda al administrador de conexión de su monedero: Abra su monedero de criptomonedas (por ejemplo, MetaMask, Phantom) y navegue hasta la sección que enumera las aplicaciones o permisos conectados.
2. Identifique las aprobaciones infinitas: Busque cualquier aprobación que aparezca como “ilimitada”, “infinita” o un número muy grande y arbitrario (por ejemplo, `0xffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff`). Estas son las más críticas de abordar.
3. Verifique los servicios no utilizados: Revise la lista para detectar cualquier dApp o servicio que no haya utilizado en meses o en el que ya no confíe. Es una buena práctica revocar su acceso de forma proactiva.
4. Utilice una herramienta de revocación dedicada: Utilice servicios como Revoke.cash o el verificador de aprobación de tokens en Etherscan. Estas herramientas agregan sus aprobaciones en varios tokens y cadenas, lo que facilita su administración.
5. Inicie transacciones de revocación: Para cada aprobación que desee revocar, inicie una transacción a través de su herramienta o monedero elegido. Este proceso en sí mismo incurre en una tarifa de gas, pero es un costo necesario para mejorar la seguridad.
6. Confirme la revocación en la blockchain: Después de firmar la transacción de revocación, espere a que se confirme en la blockchain. Puede verificar esto utilizando un explorador de blockchain.
7. Tenga cuidado con las nuevas aprobaciones: Al interactuar con nuevas dApps, siempre examine la solicitud de aprobación. Si una dApp solicita una aprobación ilimitada inmediatamente después de la conexión, trátelo como una señal de alerta importante.
La gestión de las aprobaciones de tokens no es una tarea única, sino un proceso continuo de vigilancia y seguridad proactiva. Al comprender los riesgos e implementar estos pasos de verificación y revocación, puede reducir significativamente su exposición a los exploits criptográficos comunes.
Registro de actualizaciones
- 16 jul 2026Publicado con seguimiento de fuentes y contexto de seguridad para lectores.
- CorreccionesSi una fuente cambia o una afirmación necesita aclaración, esta página puede actualizarse desde la redacción.