Seguridad

Alerta de seguridad en la Web3: Aprobaciones maliciosas

Principiante

2025-06-03 | 5m

¿Qué es una estafa de aprobación maliciosa?

Las aprobaciones maliciosas son una de las estafas más extendidas, peligrosas y dañinas de la Web3 y afectan a innumerables usuarios.

En la Web3, cada vez que interactúas con un smart contract, se te suele pedir que concedas ciertos permisos mediante la firma de una transacción. Algunos ejemplos son:

● Aprobar una dApp para acceder a tus tokens (por ejemplo, la función "approve" de ERC-20).

● Conceder a un contrato permisos para transferir tus NFT (setApprovalForAll).

● Realizar acciones on-chain que parecen inofensivas, como el inicio de sesión o la verificación.

Las estafas de aprobación maliciosa se aprovechan de estas acciones engañándote con el fin de que des permisos a un contrato malicioso para transferir tus activos.

Características principales

1. Engañan a los usuarios para que concedan permisos peligrosos

Los estafadores se disfrazan de dApps legítimas, airdrops o proyectos NFT. Te engañan a fin de que hagas clic en un botón "Aprobar" pero, en realidad, autorizas acciones como [approve] (acceso a los tokens) o [setApprovalForAll] (acceso a los NFT) para un contrato malicioso.

2. Tus activos desaparecen sin que haya transferencias

No iniciaste una transferencia, solo tocaste la opción "Confirmar". Pero, una vez que el estafador obtiene la aprobación, puede utilizar las funciones on-chain para vaciar tu billetera en cualquier momento sin necesidad de tu aprobación o firma.

3. Las aprobaciones suelen ser ilimitadas

La mayoría de los contratos fraudulentos solicitan la aprobación del valor máximo posible (2^256 - 1), lo que les da acceso ilimitado y permanente a tus activos.

4. El contrato no hace otra cosa

Los contratos de estafa son pasivos, es decir, no te roban fondos activamente por su cuenta. Todo depende de que firmes voluntariamente la aprobación, lo que los ayuda a eludir las advertencias y la detección de fraudes tradicionales.

5. Indicaciones de firma engañosas

Las indicaciones de la billetera para otorgar aprobaciones suelen ser confusas, ya sea por ser demasiado complejas o simples, lo que dificulta analizar lo que estás firmando. La mayoría de los usuarios asumen que es "solo una autorización" y hacen clic en "Confirmar" sin darse cuenta del grave riesgo que conlleva.

Situaciones comunes

1. Páginas falsas de airdrops o de acuñación de NFT

La página puede anunciar "airdrops por tiempo limitado" o promociones de "acuñación gratis". Al hacer clic en el botón, se activa una solicitud de aprobación para tus USDT (Approve) o NFT (SetApprovalForAll). Una vez aprobada, los estafadores pueden vaciar tus activos en cualquier momento.

2. Plataformas DEX o de swap falsas

Conectas tu Bitget Wallet a un DEX falso e intentas intercambiar USDC por un nuevo token. En realidad, el sitio no inicia un swap, solo te lleva a "Aprobar USDC". Una vez hecho esto, se roban tus fondos mediante un contrato malicioso.

3. Falsas plataformas de bloqueo/farming o de juego

Se te pide "bloquear tokens" o "comenzar a jugar" en una app DeFi/GameFi. El sitio solicita la aprobación de tokens/NFT. Toda la plataforma actúa como una pantalla para contratos maliciosos que, al concederles autorización, drenan tus activos.

4. Interfaces hackeadas de proyectos legítimos

Los hackers comprometen sitios de proyectos de confianza o secuestran registros DNS inyectando scripts maliciosos para intercambiar el contrato real por uno de phishing. Los usuarios creen que están interactuando con una app legítima, pero en realidad están dando acceso a los atacantes.

5. Atención al cliente o documentos de ayuda falsos

Pides ayuda en una comunidad y un falso "agente de soporte" o "servicio de atención al cliente" te envía un link. El link lleva a una falsa página de soporte que te pide que autorices un contrato con el pretexto de "resolver tu problema", pero en realidad es una trampa.

¿Cómo funciona?

El principio básico de las autorizaciones maliciosas puede resumirse en una frase:

Se aprovecha del desconocimiento de los usuarios sobre cómo funcionan los permisos on-chain. Al engañarte para que concedas autorizaciones, los estafadores toman el control de tus activos y los roban sin que te des cuenta.

Principios técnicos

Así es normalmente el proceso de una estafa de aprobación maliciosa:

1. El estafador implementa un contrato malicioso (pero no inicia transferencias directamente).

2. Se engaña al usuario para que autorice mediante la función [approve] (para tokens) o [setApprovalForAll] (para NFT).

3. Se concede la aprobación, pero los activos permanecen en la billetera... por ahora.

4. Los estafadores utilizan entonces [transferFrom()] o funciones similares para mover los fondos a su propia billetera.

5. Dado que la transacción es técnicamente válida (aprobada por el usuario), las billeteras y las blockchains no la bloquean.

Medidas de seguridad de Bitget Wallet

● Alertas de sitios web de phishing: Si visitas un sitio sospechoso, Bitget Wallet te mostrará una advertencia para evitar que apruebes un contrato malicioso sin saberlo.

● Detección de riesgos de contratos integrada: Bitget Wallet incluye una herramienta que escanea tus aprobaciones existentes. Puedes revisar y revocar proactivamente los permisos obsoletos o de alto riesgo para mantener la seguridad de tus activos.

Buenas prácticas para protegerte

Presta atención a estas señales de alarma para identificar posibles intentos de aprobación maliciosa:

● La dApp no tiene una funcionalidad real, solo un aviso en el que se te solicita que apruebes algo.

● Se te pide acceso a activos críticos (USDT, ETH, NFT).

● La aprobación no tiene límite (por ejemplo, approve (uint256 max)).

● La ventana emergente de firma de tu billetera muestra SetApprovalForAll: true.

● El sitio web tiene un aspecto poco profesional o imita un proyecto conocido.

● Nunca hagas clic en links aleatorios ni apruebes nada que provenga de mensajes directos de Telegram, respuestas de Twitter u otras fuentes no verificadas.

Conclusiones

Si no lo entiendes, no lo firmes. Si no es un trade, piénsalo dos veces antes de hacer clic.

Los usuarios no expertos deben ser extremadamente cautelosos al aprobar permisos de smart contracts. Adopta siempre una mentalidad que dé prioridad a la seguridad: "aprobación = transferencia de fondos". Examina y comprueba dos veces cada autorización de contrato antes de firmarlo.