Cómo verificamos esto
Revisamos las fuentes enlazadas y actualizamos la página cuando cambia el registro. Usa la lista de fuentes abajo para verificar los detalles.
Key points
El mundo de las criptomonedas ofrece una libertad financiera revolucionaria, pero también es un terreno fértil para estafas sofisticadas. Entre las amenazas más insidiosas y a menudo pasadas por alto para los inversores individuales se encuentran las aprobaciones maliciosas de tokens. No siempre se trata de enlaces de phishing obvios o sitios web completamente falsos. En cambio, explotan un mecanismo fundamental de interacción de contratos inteligentes, convirtiendo lo que parece ser una acción legítima en una puerta de entrada para el robo de activos. Comprender este patrón es crucial para cualquier usuario de criptomonedas que busque salvaguardar su riqueza digital. Esta columna profundiza en la mecánica de las aprobaciones de tokens, cómo son utilizadas como armas por los "drenadores de billeteras", y los pasos críticos que puede tomar para verificar y revocar estos permisos potencialmente peligrosos.
Por qué este patrón es importante
El impacto de las aprobaciones de tokens comprometidas puede ser devastador. A diferencia de un simple ataque de phishing donde un usuario podría perder el valor de una sola transacción, una aprobación de token amplia puede otorgar a un atacante acceso total a toda una clase de tokens dentro de una billetera. Esto significa que los atacantes pueden drenar no solo su criptomoneda nativa, sino también stablecoins, NFT y cualquier otro token ERC-20 o ERC-721 que posea. El gran volumen de activos que se pueden desviar en una sola explotación convierte esto en un riesgo de alta prioridad para todos los usuarios de criptomonedas, particularmente aquellos que interactúan con múltiples aplicaciones descentralizadas (dApps) o protocolos nuevos y no examinados. La Comisión Federal de Comercio (FTC) ha advertido durante mucho tiempo sobre las estafas de phishing, y las aprobaciones de tokens comprometidas a menudo comienzan con una interacción engañosa que conduce a una aprobación excesivamente permisiva.
Lo que revelan los expertos
Los investigadores de seguridad y las firmas de análisis de blockchain destacan constantemente las aprobaciones de tokens comprometidas como un vector principal para los "drenadores de billeteras". Sitios web como Revoke.cash, un servicio dedicado a la gestión de aprobaciones de tokens, proporcionan material educativo y herramientas extensas. Su análisis muestra que muchos usuarios otorgan sin saberlo aprobaciones "infinitas", permitiendo que un contrato inteligente gaste cualquier cantidad de un token específico sin confirmación adicional. Los exploradores de bloques, como Etherscan, permiten a los usuarios ver todas las asignaciones aprobadas para una dirección determinada, ofreciendo una vista transparente, aunque técnica, de estos permisos. Las advertencias regulatorias oficiales de organismos como la SEC y la FTC a menudo clasifican este tipo de exploits bajo advertencias más amplias de "phishing" o "malware", lo que subraya la naturaleza engañosa de la interacción inicial que conduce a dichas aprobaciones.
Cómo funciona habitualmente el riesgo
El núcleo de la explotación de la aprobación de tokens radica en la función `approve` inherente a muchos contratos de tokens ERC-20. Cuando interactúa con una dApp, es posible que se le pida que apruebe un token para un propósito específico, como permitir que un intercambio descentralizado negocie sus tokens o que un protocolo de “yield farming” los apueste. La función `approve` generalmente toma dos argumentos: la dirección del gastador (la dApp o el contrato) y la cantidad de tokens que se pueden gastar. La vulnerabilidad surge cuando los usuarios aprueban una cantidad excesiva, a menudo el valor máximo posible (efectivamente infinito), sin comprender completamente las implicaciones o la legitimidad del contrato solicitante. Los atacantes pueden entonces aprovechar esta aprobación para drenar sus tokens a la dirección aprobada.
Comprensión de los tipos de aprobación
Es crucial distinguir entre los diferentes tipos de aprobaciones de tokens para gestionar mejor el riesgo. Aunque la función `approve` es estándar, la forma en que se utiliza puede variar.
| Tipo de aprobación | Descripción | Nivel de riesgo |
|---|---|---|
| Aprobación de cantidad específica | Otorga permiso para gastar una cantidad definida y limitada de tokens. | Bajo |
| Aprobación infinita | Otorga permiso para gastar cualquier cantidad de tokens, hasta el saldo total. | Alto |
| Aprobación por tiempo limitado | Otorga permiso por una duración específica. (Menos común en ERC-20 estándar) | Medio |
La mayoría de las explotaciones de "drenaje de billeteras" aprovechan que los usuarios otorgan aprobaciones infinitas, ya sea intencionalmente por malentendido o involuntariamente a través de interfaces engañosas.
Pasos prácticos para protegerse
Salvaguardar sus activos de aprobaciones de tokens maliciosas requiere vigilancia y gestión proactiva. Aquí hay pasos prácticos que puede seguir:
Revise las aprobaciones activas regularmente: Utilice servicios como Revoke.cash o el verificador de aprobación de tokens de Etherscan para revisar periódicamente todas las aprobaciones de tokens activas en su billetera. Busque cualquier aprobación desconocida o excesivamente permisiva.
Conceda solo los permisos necesarios: Cuando interactúe con una nueva dApp o contrato, examine detenidamente la solicitud de aprobación. Si solicita una aprobación infinita o más tokens de los inmediatamente necesarios, tenga extrema precaución. Considere revocar cualquier aprobación amplia existente antes de otorgar una nueva y más específica.
Use una billetera "caliente" dedicada para transacciones pequeñas: Para interacciones frecuentes con dApps o para mantener cantidades más pequeñas, considere usar una billetera separada que no esté vinculada a sus tenencias principales de alto valor. Esto limita el daño potencial si las aprobaciones de esa billetera específica se ven comprometidas.
Tenga cuidado con las solicitudes inesperadas: Si una dApp o un servicio le pide de repente que vuelva a aprobar tokens, especialmente si es una acción que usted no inició, podría ser una señal de una estafa.
Comprenda los riesgos de los contratos inteligentes: Antes de interactuar con cualquier contrato inteligente, investigue su reputación, el estado de la auditoría y los comentarios de la comunidad. Los protocolos no examinados son una fuente importante de riesgo.
Al comprender la mecánica de las aprobaciones de tokens e implementar estas medidas de protección, puede reducir significativamente su exposición a este vector común pero peligroso de "drenaje de billeteras".
Registro de actualizaciones
- 2 jul 2026Publicado con seguimiento de fuentes y contexto de seguridad para lectores.
- CorreccionesSi una fuente cambia o una afirmación necesita aclaración, esta página puede actualizarse desde la redacción.