Mi Cartera Fue Vaciada: Pasos de Emergencia para Limitar el Daño

— By Tony Rabbit in Tutorials

Mi Cartera Fue Vaciada: Pasos de Emergencia para Limitar el Daño

¿Tu cartera fue vaciada y no sabes qué hacer? Aquí está la respuesta de emergencia exacta: identifica la aprobación maliciosa, revoca los permisos activos en cada cadena, rescata los activos restantes antes de los bots 'sweeper' y abandona la frase semilla para siempre.

Si tu cartera fue vaciada y te preguntas qué hacer, una cartera vaciada significa que un atacante utilizó una aprobación de token maliciosa, una firma permit, o tu frase semilla filtrada para mover tus activos sin tu consentimiento. El tiempo importa: la diferencia entre perderlo todo y salvar parte de tus activos se mide generalmente en minutos. Esta guía te lleva a través de la respuesta de emergencia en orden, desde los primeros diez minutos hasta decidir qué es realmente recuperable. Trabaja rápido, pero sigue la secuencia, porque un movimiento incorrecto, como enviar gas a una cartera envenenada, puede entregar el resto de tus fondos directamente a un bot.

Puntos Clave

  • Revocar una aprobación no es suficiente si una firma permit o una aprobación de segunda cadena sigue activa.
  • Mueve los activos restantes a una cartera completamente nueva antes de que los bots 'sweeper' reaccionen al gas entrante.
  • Una frase semilla comprometida está muerta para siempre; nunca la reutilices en ninguna cadena o cuenta.
  • Financiar una cartera vaciada con gas a menudo es interceptado, así que nunca la recargues.

Primeros 10 minutos: identifica qué causó el vaciado

Antes de hacer clic en cualquier cosa, encuentra la transacción que vació tu cartera. Abre un explorador de bloques para la cadena afectada, pega tu dirección y mira las transferencias salientes más recientes. Estás tratando de aprender el mecanismo, porque el mecanismo decide qué sigue siendo peligroso. Las causas comunes son una aprobación de token approve que firmaste para un sitio falso, una firma Permit o Permit2 sin gas que no necesita una transacción en cadena para autorizar una transferencia, o un compromiso total de la frase semilla donde el atacante simplemente tiene tus claves.

Verifica si la salida fue un solo barrido o un flujo de transferencias entre tokens. Si solo salieron tokens ERC-20 pero tu moneda nativa permanece, es probable que estés lidiando con una explotación de aprobación o permiso en lugar de una frase semilla robada. Si todo, incluido el saldo nativo, ha desaparecido, asume que la frase semilla está comprometida. Anota la dirección del vaciador y los hashes exactos de las transacciones ahora, porque los necesitarás más tarde para revocar y rastrear. Para una lista de verificación más amplia de acciones inmediatas, nuestra guía de pasos inmediatos para la recuperación de carteras de criptomonedas es un complemento útil para esta página.

Revoca los permisos restantes en cada cadena

Los vaciadores rara vez usan solo una aprobación. A menudo tienen múltiples permisos activos y, cada vez más, una firma permit fuera de la cadena que puede autorizar una transferencia en el momento en que llega un nuevo valor. Conecta una herramienta de revocación, o mejor, una cartera que NO hayas comprometido, y revisa cada permiso activo. Revoca los contratos de gasto maliciosos y revoca cualquier permiso establecido en la cantidad máxima (ilimitada), incluso aquellos que no reconozcas.

El error crítico es detenerse en una sola cadena. La misma dirección existe en Ethereum, Arbitrum, Base, Polygon, BNB Chain y más, y un atacante que te hizo phishing una vez puede haber plantado aprobaciones en varias de ellas. Recorre cada red donde alguna vez tuviste activos. Ten en cuenta que revocar un approve en cadena NO cancela un permiso firmado; un permiso vive fuera de la cadena hasta que se usa, por lo que la única defensa real es eliminar el saldo subyacente que el permiso podría tocar. Nuestra guía paso a paso sobre cómo revocar aprobaciones de tokens cubre la mecánica exacta por cadena.

Mecanismo de vaciado¿Revocar la aprobación lo detiene?Lo que realmente te protege
Aprobación de token en cadenaSí, para ese token y gastadorRevoca en cada cadena que usaste
Firma Permit / Permit2No, la firma está fuera de la cadenaMueve los saldos para que no haya nada que tomar
Frase semilla robadaNo, el atacante tiene las clavesAbandona la cartera por completo

Rescata los activos no vaciados a una cartera nueva

Si algo sobrevivió, sácalo antes de que reaccionen los bots 'sweeper' automatizados. Primero, crea una cartera completamente nueva con una frase semilla completamente nueva en un dispositivo limpio. No la derives de la frase semilla comprometida y no reutilices una copia de seguridad antigua. Envía los activos restantes, NFTs, posiciones en staking y cualquier liquidez a esta nueva dirección.

La trampa aquí es el gas. Una cartera vaciada puede no tener moneda nativa para pagar las tarifas de transacción, y tu instinto es enviar un poco de gas. En una cartera con la frase semilla comprometida, ese gas entrante casi siempre es barrido en segundos por un bot que monitorea la dirección, por lo que financias al atacante en lugar de a ti mismo. Si la frase semilla está comprometida, no envíes gas en absoluto; la cartera es una pérdida. Si solo se abusó de una aprobación y tus claves aún son privadas, puedes financiar gas, pero transfiere primero los activos de mayor valor y actúa en una única sesión ininterrumpida.

Por qué una frase semilla comprometida debe abandonarse permanentemente

Una frase semilla es la clave maestra para cada cuenta y cadena que puede derivar. Una vez que ha tocado un sitio malicioso, una aplicación de cartera falsa o un aviso de phishing que la capturó, debes tratarla como conocimiento público para siempre. No hay forma de rotar, limpiar o confiar parcialmente en una frase semilla filtrada. Los atacantes programan sus bots para monitorear direcciones conocidas comprometidas indefinidamente, por lo que incluso meses después, cualquier valor que aparezca puede ser vaciado instantáneamente.

Por eso, mover fondos dentro de la misma cartera, o a otra cuenta derivada de la misma frase semilla, no resuelve nada: el atacante también deriva esas cuentas. El único camino seguro es una frase semilla nueva generada sin conexión en un dispositivo limpio, idealmente una cartera de hardware. Si quieres entender cómo funcionan estos flujos de captura en primer lugar, consulta nuestra explicación sobre qué es un 'wallet drainer' en cripto y el desglose más profundo de los ataques de 'wallet drainer' y cómo reconocerlos.

Rastreo de la dirección del vaciador para reportar

Documentaste la dirección del vaciador en el paso uno. Ahora síguela. Pega la dirección en un explorador de bloques y observa hacia dónde fluyen los fondos robados. Los vaciadores suelen dirigir los activos a través de una cartera de consolidación, luego a un mezclador o a una dirección de depósito de un exchange centralizado. Si los fondos llegan a un exchange, esa dirección de depósito es la pista más sólida, porque un lugar regulado puede congelarla si las fuerzas del orden actúan rápidamente.

Registra la cadena, la dirección del vaciador, los saltos de consolidación, cada hash de transacción, las marcas de tiempo y el valor aproximado en USD perdido. Reporta al canal de abuso del exchange relevante, a tu autoridad local de ciberdelincuencia y a las bases de datos de informes de 'wallet drainer' que marcan direcciones maliciosas. Las expectativas realistas importan: el rastreo rara vez devuelve tus fondos, pero construye un rastro de evidencia, ayuda a congelar los depósitos del exchange y protege a la próxima víctima al incluir la dirección en la lista negra.

Qué es y qué no es recuperable

Sé honesto contigo mismo sobre los resultados. Las transacciones en cadena son finales, por lo que los activos ya movidos por el atacante se han ido a menos que estén en una cuenta de exchange que se congele. Lo que aún puedes salvar es todo lo que el vaciador AÚN NO ha tocado, por eso la velocidad en el paso de rescate es tan importante. Seguros, reembolsos o "servicios de recuperación" que prometen revertir una transferencia de blockchain son casi siempre estafas que te vacían una segunda vez, así que nunca pagues una tarifa inicial para recuperar criptomonedas robadas.

La lección duradera es la prevención. Después de la emergencia, refuerza tu configuración con una cartera de hardware, una cartera 'burner' dedicada para aprobaciones riesgosas y una higiene de permisos rutinaria. Nuestra guía sobre cómo proteger las criptomonedas de los hackers expone las defensas a largo plazo para que una sola firma incorrecta nunca vuelva a vaciar tu cartera principal.

Este artículo es solo para fines educativos y no constituye asesoramiento financiero.