Seguridad

Alerta de seguridad Web3: Aprobaciones maliciosas

Principiante

2025-06-03 | 5m

¿Qué es una estafa de aprobación maliciosa?

Las aprobaciones maliciosas son una de las estafas más comunes, peligrosas y dañinas de la Web3 que afectan a una gran cantidad de usuarios.

En la Web3, cada vez que interactúas con un contrato inteligente, sueles tener que conceder ciertos permisos mediante la firma de una transacción. Algunos ejemplos son:

● Aprobar una dApp para acceder a tus tokens (por ejemplo, ERC-20 approve).

● Conceder permisos a un contrato para transferir tus NFT (setApprovalForAll).

● Realizar acciones en cadena que parecen inofensivas, como el inicio de sesión o la verificación.

Las estafas de aprobación maliciosa se aprovechan de estas acciones engañándote para que des permiso a un contrato malicioso para transferir tus activos.

Características principales

1. Engañar a los usuarios para que concedan permisos peligrosos

Los estafadores se disfrazan de dApps legítimas, airdrops o proyectos NFT. Te engañan para que hagas clic en un botón "Aprobar", pero en realidad, estás autorizando acciones como [approve] (acceso al token) o [setApprovalForAll] (acceso a NFT) para un contrato malicioso.

2. Tus activos desaparecen sin hacer una transferencia

No has iniciado una transferencia, solo has hecho clic en "Confirmar". Pero una vez que el estafador obtiene la aprobación, puede usar las funciones en cadena para vaciar tu monedero en cualquier momento sin necesidad de tu aprobación o firma.

3. Las aprobaciones suelen ser ilimitadas

La mayoría de los contratos fraudulentos solicitan la aprobación del valor máximo posible (2^256 - 1), lo que les da acceso ilimitado y permanente a tus activos.

4. El contrato no tiene otra función

Los contratos de estafa son pasivos, no roban fondos activamente por su propia cuenta. Todo depende de que firmes voluntariamente la aprobación, lo que les ayuda a eludir las advertencias y la detección de fraudes tradicionales.

5. Avisos de firma engañosas

Los avisos de los monederos para las aprobaciones suelen ser confusos (ya sean excesivamente complejos o excesivamente simplificados), lo que dificulta el análisis de lo que se está firmando. La mayoría de los usuarios asumen que es "solo una autorización" y hacen clic en "Confirmar" sin darse cuenta del grave riesgo que esto conlleva.

Situaciones comunes

1. Páginas falsas de airdrops o acuñación de NFT

La página puede anunciar "Airdrops por tiempo limitado" o promociones de "acuñación gratis". Al hacer clic en el botón se activa una solicitud de aprobación para tus USDT (Approve) o NFT (SetApprovalForAll). Una vez aprobada, los estafadores pueden tomar todos tus activos en cualquier momento.

2. Plataformas DEX o swaps falsas

Conectas tu Bitget Wallet a un DEX falso e intentas hacer swap de USDC a un nuevo token. En realidad, el sitio no inicia un swap, solo te lleva a "Aprobar USDC". Una vez hecho esto, tus fondos son robados usando un contrato malicioso.

3. Plataformas de staking/farming/gaming falsas

Se te solicita "Haz staking de tokens" o "Empieza a jugar" en una app DeFi/GameFi. El sitio solicita la aprobación de token/NFT. La plataforma entera actúa como fachada para contratos maliciosos que, una vez autorizados, drenan tus activos.

4. Frontends de proyectos legítimos comprometidos

Los piratas informáticos comprometen sitios de proyectos de confianza o secuestran registros DNS, inyectando scripts maliciosos para cambiar el contrato real por uno de phishing. Los usuarios creen que están interactuando con una app legítima, pero en realidad le están dando acceso a los atacantes.

5. Servicio de atención al cliente o ayuda falsos

Pides ayuda en una comunidad y un "agente del servicio de atención al cliente" falso te envía un link. El link lleva a una página de soporte falsa que te pide que autorices un contrato con el pretexto de "resolver tu problema", pero en realidad es una trampa.

¿Cómo funciona?

El principio básico de las autorizaciones maliciosas puede resumirse en una frase:

Se aprovechan de la ignorancia del usuario sobre cómo funcionan los permisos en cadena. Al engañarte para que concedas autorizaciones, los estafadores toman el control de tus activos y los roban sin que lo sepas.

Principios técnicos

Este es el flujo de trabajo típico de una estafa de aprobación maliciosa:

1. El estafador despliega un contrato malicioso (pero no inicia las transferencias directamente).

2. Se engaña al usuario para que llame a [approve] (para tokens) o a [setApprovalForAll] (para NFT).

3. Se concede la aprobación, pero los activos permanecen en el monedero (por ahora).

4. Luego, los estafadores usan [transferFrom()] o funciones similares para mover los fondos a su propio monedero.

5. Dado que la transacción es técnicamente válida (aprobada por el usuario), los monederos y las blockchains no la bloquean.

Medidas de seguridad de Bitget Wallet

● Alertas de sitios web de phishing: Si visitas un sitio sospechoso, Bitget Wallet mostrará una advertencia para evitar que apruebes un contrato malicioso sin saberlo.

● Detección de riesgos contractuales incorporada: Bitget Wallet incluye una herramienta que escanea tus aprobaciones existentes. Puedes revisar y revocar proactivamente los permisos obsoletos o de alto riesgo para mantener la seguridad de tus activos.

Buenas prácticas para protegerte

Presta atención a estas señales de alarma para identificar posibles intentos de aprobación maliciosos:

● La dApp no tiene ninguna funcionalidad real, es solo un aviso pidiéndote que apruebes algo.

● Pide acceso a activos importantes (USDT, ETH, NFT).

● La aprobación no tiene límite (approve (uint256 max))

● La ventana emergente de firma de tu monedero muestra SetApprovalForAll: true.

● El sitio web tiene un aspecto poco profesional o imita un proyecto muy conocido

● Nunca hagas clic en links aleatorios ni apruebes nada que provenga de un mensaje directo en Telegram, respuestas de Twitter u otras fuentes no verificadas.

Consideraciones finales

Si no lo entiendes, no lo firmes. Si no es una operación, piénsalo dos veces antes de hacer clic.

Para los usuarios comunes, la aprobación de permisos de contratos inteligentes debe hacerse con extrema precaución. Adopta siempre una mentalidad que dé prioridad a la seguridad: "aprobación = transferencia de fondos". Examina y comprueba dos veces cada autorización de contrato antes de firmarlo.