logo

Alerta de seguridad de WEEX: Estafa de aprobación maliciosa

Conceptos básicos de cripto
By: WEEX|2025-08-27 04:15:59

¿Qué es una estafa de aprobación maliciosa?

Las estafas de aprobación maliciosa se encuentran entre las amenazas más extendidas y perjudiciales en el espacio de la Web3 y afectan a una innumerable cantidad de usuarios.

En la Web3, cuando interactúas con un smart contract, a menudo se te solicita que concedas permisos firmando una transacción. Algunos ejemplos comunes incluyen:

  • Aprobar una dApp para que acceda a tus tokens.
  • Otorgarle permiso a un contrato para que transfiera tus NFT.
  • Realizar acciones aparentemente inofensivas, como iniciar sesión o verificar la propiedad.

Las estafas de aprobación maliciosas explotan estas acciones engañando a los usuarios para que les concedan permiso a smart contracts maliciosos para transferir tus activos.

Funciones principales

  1. Engañar a los usuarios para que concedan permisos peligrosos: Los estafadores se hacen pasar por dApps, airdrops o proyectos de NFT legítimos. Engañan a los usuarios para que hagan clic en el botón “Aprobar”, que en realidad autoriza la realización de acciones maliciosas, como el acceso a tokens o NFT.
  2. Los activos desaparecen sin que realices una transferencia. Tu no enviaste nada; solo hiciste clic en “Confirmar”. Pero una vez que concediste la aprobación, los atacantes pueden transferir tus activos en cualquier momento sin que tengas que realizar ninguna acción adicional.
  3. Las aprobaciones suelen ser ilimitadas: la mayoría de los contratos maliciosos solicitan la máxima autorización posible, lo que les brinda acceso permanente y sin restricciones a tus tokens o NFT.
  4. El contrato es pasivo. Los contratos de estafa no roban fondos activamente. Dependen por completo de que los usuarios firmen las aprobaciones voluntariamente, lo que les ayuda a evadir las advertencias de seguridad convencionales.
  5. Avisos de firma engañosos: Los avisos de aprobación de la billetera suelen ser demasiado técnicos o simplificados, lo que dificulta la comprensión de lo que estás firmando. Muchos usuarios suponen que es una autorización inofensiva y confirman sin darse cuenta del riesgo.

Situaciones habituales

  1. Páginas falsas de airdrops o de acuñación de NFT: Los sitios promocionan “airdrops limitados” o “acuñaciones gratuitas”. Al hacer clic en el botón, se genera una solicitud para aprobar el acceso a los tokens o NFT. Una vez que recibieron la aprobación, los estafadores pueden vaciar tus activos en cualquier momento.
  2. Plataformas de DEX o swap falsas: Conectas tu billetera a un exchange descentralizado falso para swapear tokens. En lugar de ejecutar un trade, el sitio te engaña para que apruebes el acceso al token. Luego, te roban los fondos.
  3. Plataformas de staking o de juego falsas: Se te solicita que coloques tokens en staking o que comiences a jugar en una plataforma DeFi o GameFi engañosa. El sitio solicita la aprobación para tus tokens o NFT, pero toda la plataforma es falsa.
  4. Frontends de proyectos legítimos hackeados: Los atacantes comprometen sitios web confiables o secuestran registros de DNS para reemplazar contratos legítimos por otros maliciosos. Los usuarios creen que están usando una dApp real, pero en realidad están aprobando permisos perjudiciales.
  5. Servicio de atención al cliente o documentación falsos: Un agente del servicio de atención al cliente falso envía un enlace que afirma “resolver un problema”. La página te pide que apruebes un contrato, que en realidad está diseñado para robarte tus activos.

Cómo funciona

La idea central detrás de las aprobaciones maliciosas es simple:

Se aprovechan de la falta de conocimiento de los usuarios acerca de los permisos on-chain. Al engañarte para que concedas aprobaciones, los estafadores obtienen el control de tus activos y los roban sin tu conocimiento.

Proceso técnico

Una típica estafa de aprobación maliciosa sigue estos pasos:

  1. El estafador implementa un contrato malicioso (que no inicia las transferencias por sí mismo).
  2. Engaña al usuario para que llame a la función de aprobación (para tokens).
  3. El usuario concede la aprobación: Los activos permanecen en la billetera temporalmente.
  4. Los estafadores utilizan funciones para mover los fondos a su billetera.
  5. Como la transacción está aprobada por el usuario, se considera válida y no se bloquea.

Mejores prácticas para protegerte

Permanece atento a estas señales de alerta para evitar aprobaciones maliciosas:

  • La dApp no tiene ninguna funcionalidad real; únicamente solicita aprobación.
  • Solicita acceso a activos de alto valor como ETH, stablecoins o NFT.
  • La aprobación no tiene un límite de gasto.
  • La ventana emergente de la firma muestra acciones de alto riesgo.
  • El sitio web parece poco profesional o imita a un proyecto conocido.
  • Evita hacer clic en enlaces aleatorios o aprobar solicitudes de fuentes no verificadas, como mensajes directos de Telegram o respuestas de Twitter.

Conclusión

Si no lo entiendes, no lo firmes. Si no es un trade, piénsalo dos veces antes de aprobarlo.

Los usuarios cotidianos deben aprobar los permisos de smart contract con extrema precaución, si deciden hacerlo. Adopta una mentalidad que priorice la seguridad: Trata cada aprobación como si fuera una posible transferencia de fondos. Siempre examina y verifica dos veces cada autorización antes de firmar.

Lecturas adicionales

Alerta de seguridad de WEEX: Estafas comunes con criptomonedas¿Qué es la moneda Goatcoin (GOATCOIN)? Una guía completa

También te puede interesar

Compartir
copy

Ganadores

Comunitario
iconiconiconiconiconiconicon

Atención al cliente@weikecs

Cooperación empresarial@weikecs

Trading cuantitativo y MMbd@weex.com

Programa VIPsupport@weex.com