Explicación de los ataques de drenaje de billetera: cómo reconocerlos y evitarlos

La amenaza invisible: cuando tu clave privada está segura, pero tu Cartera está drenado

• Muchos participantes de Web3 operan bajo la falsa suposición de que, siempre que nunca compartan su frase inicial de 12 palabras o sus claves privadas, sus activos digitales son completamente inmunes al robo. Si bien la protección de frases iniciales sigue siendo una base de seguridad fundamental, los ladrones de criptomonedas modernos ya no necesitan robar sus claves privadas para vaciar sus cuentas. En cambio, explotan las mismas características creadas para hacer finanzas descentralizadas (DeFi) fluido y eficiente.

• Escurridores de billetera son scripts de phishing altamente automatizados implementados en aplicaciones web maliciosas que engañan a los usuarios para que firmen cargas útiles dañinas. Estos exploits no violan cadena de bloques redes o crackear criptografía; comprometen la capa humana a través del engaño frontal, firmas maliciosas fuera de la cadena e integraciones de protocolos innovadoras como EIP-7702 o Permit2. Esta guía completa detalla la mecánica de la infraestructura moderna de drenaje de billeteras, desglosa las firmas de ataque dominantes y proporciona marcos de operación de seguridad operacional para aislar y proteger su capital.

¿Qué es un Escurridor de Billeteras?

• Un drenaje de billetera es un conjunto de herramientas maliciosas de software como servicio (DaaS) especializado diseñado para detectar, catalogar y robar automáticamente los activos digitales más valiosos dentro de la billetera Web3 conectada de una víctima.

• Cuando un usuario conecta accidentalmente su billetera a una interfaz web fraudulenta, el script de drenaje escanea el libro de contabilidad público para indexar las tenencias de la billetera, incluidos tokens de alto valor, derivados de apuestas líquidas y NFT premium. Luego, el script genera sistemáticamente una rápida sucesión de solicitudes de transacciones personalizadas o solicitudes de firma, presentándolas al usuario bajo etiquetas de interfaz de usuario disfrazadas (como "Reclamar Airdrop", "Verificar red" o "Migrar token") para engañar a la víctima y obligarla a renunciar al control de activos.

1. Los vectores de ataque: de la suplantación de DApp a la evasión

Un moderno vaciador de billeteras implementa una combinación de ingeniería social y tácticas de evasión técnica para interceptar a los usuarios antes de que se den cuenta de que se han desviado del camino seguro.

• Interfaces de suplantación y clonación de DApp: Los atacantes implementan clones con píxeles perfectos de aplicaciones Web3 populares, intercambios descentralizados o próximos lanzamientos de tokens. Estos enlaces maliciosos se distribuyen a través de anuncios patrocinados en motores de búsqueda, cuentas X oficiales secuestradas o bots de la comunidad de Discord comprometidos, creando una sensación inmediata de urgencia o recompensa financiera.

• CREATE2 Omisión de alerta: Para evadir las alertas de seguridad en tiempo real integradas en las billeteras avanzadas, los drenadores modernos abusan en gran medida del CREAR2 código de operación. Este código de operación permite predecir matemáticamente una dirección de contrato antes de implementarla físicamente en la cadena. El drenaje engaña al usuario para que firme una aprobación hacia una dirección inactiva y aparentemente inofensiva. En el momento en que la firma se asienta, el drenador crea una instancia del malicioso contrato inteligente en esa dirección prevista e inmediatamente despoja la billetera de sus tokens, evitando las listas de bloqueo de seguridad estáticas heredadas.

2. Explicación de aprobaciones maliciosas y firmas fuera de cadena

Comprender las cargas útiles específicas utilizadas por un drenador de billeteras requiere analizar cómo funcionan detrás de escena las arquitecturas contemporáneas de asignación de tokens.

La trampa de la aprobación clásica (approve / setApprovalForAll)

La forma más antigua de drenaje de billetera consiste en engañar a un usuario para que ejecute una transacción nativa en cadena que otorga a una dirección externa permiso ilimitado para gastar un token específico. Una vez firmado, el atacante invoca el transferFrom funcionan en el contrato de token desde su propio dispositivo, extrayendo todos los activos aprobados de la billetera de la víctima sin necesitar nuevamente su clave privada.

El exploit de permiso fuera de cadena (Permiso/Permiso2)

Para eliminar las tarifas de gas para los intercambios de rutina, los protocolos introdujeron firmas fuera de la cadena a través de EIP-2612 (Permiso) y Uniswap Permiso2 Contrato .

• La Vulnerabilidad: En lugar de enviar una transacción blockchain en vivo, el usuario simplemente firma un mensaje estructurado con su billetera. Esta firma fuera de la cadena contiene variables de validación criptográfica específicas.

• El Sifón: El drenaje captura esta cadena de firma sin procesar y la pasa al contrato de token en la cadena. Debido a que el usuario previamente otorgó permiso general a un contrato de ecosistema como Permit2, el drenaje puede canjear instantáneamente esa firma para agotar el saldo de activos. Las estafas basadas en permisos representan uno de los exploits de firmas más dañinos en todas las capas de EVM.

3. La próxima frontera: exploits de abstracción de cuentas EIP-7702

• Luego de actualizaciones recientes del protocolo, como la actualización Pectra de Ethereum, una poderosa primitiva técnica llamada EIP-7702 se introdujo para incorporar funciones avanzadas de abstracción de cuentas a las cuentas estándar de propiedad externa (EOA).

• EIP-7702 permite que una billetera estándar sin contrato delegue temporalmente sus derechos de ejecución a un contrato inteligente para una carga útil de transacción específica. Si bien esto ofrece una increíble comodidad para el usuario (como el patrocinio de gas y la agrupación de transacciones atómicas), establece un vector de phishing completamente nuevo para servicios sofisticados y agotadores.

• En lugar de solicitar a los usuarios la aprobación de tokens individuales, los drenadores de próxima generación engañan a las víctimas para que firmen un contrato de delegación EIP-7702 bajo el pretexto de una "actualización de seguridad de la billetera" o un "asistente de activos de IA". Una vez firmado, la billetera de la víctima funciona esencialmente como un contrato programable controlado por el atacante. El contrato malicioso puede ejecutar inmediatamente transacciones por lotes para barrer múltiples saldos de tokens independientes, extraer asignaciones de apuestas líquidas o activar vías complejas de reentrada en una ejecución de un solo bloque, evitando por completo las herramientas de simulación de transacciones heredadas.

Matriz de desglose técnico: firmas de vectores de drenaje

4. Cómo reconocer y proteger su cartera

Defender su capital contra kits de herramientas de drenaje automatizado requiere una disciplina operativa rigurosa y la implementación de hábitos de defensa activos.

• Deconstruir la pantalla de confirmación de Wallet: Nunca haga clic en "Confirmar" o "Firmar" según las etiquetas de texto que se muestran en la interfaz frontal de un sitio web. La parte delantera puede mentir. Desplácese siempre hacia abajo dentro del software de su billetera para leer la ruta de ejecución sin formato real. Si un sitio que promete un reclamo de lanzamiento aéreo solicita una acción que contenga palabras como approve, permit, SET_CODE, o una cadena genérica de código hexadecimal, rechaza la transacción inmediatamente.

• Mantenga una compartimentación estricta de la billetera: Divida sus criptoactivos en distintas capas operativas. Utilice una "billetera activa" desechable y de bajo saldo para interactuar con nuevas dApps, crear NFT experimentales o reclamar recompensas de la comunidad. Mantenga su riqueza generacional central completamente aislada en dispositivos de hardware institucionales que nunca estén conectados a navegadores de navegación diaria ni a protocolos web desconocidos.

• Revocar proactivamente las asignaciones de tokens: Audite periódicamente los permisos de sus tokens abiertos utilizando herramientas de autorización en cadena verificadas como Revoke.cash o paneles de seguridad de billetera nativos. La eliminación periódica de aprobaciones antiguas garantiza que, incluso si una dApp histórica que utilizó anteriormente se ve comprometida o un drenaje apunta a sus asignaciones anteriores, los saldos actuales de su billetera permanezcan completamente aislados.

Seguimiento de entradas maliciosas mediante telemetría forense de DEXTools

• Utilizando arquitecturas de gráficos descentralizados avanzados como DEXTools proporcionan mercado participantes con una plataforma universal esencial para monitorear tokens en vivo comportamientos, evaluar las profundidades de la piscina e inspeccionar los parámetros del contrato en todos Redes públicas de ejecución. 

• Aprovechando funciones principales como Pair Explorer, el panel Live New Pairs y Trade Story, entre otras opciones, técnicas Los comerciantes pueden auditar las tendencias de volumen localizadas y verificar la seguridad automatizada de los contratos. puntuaciones antes de iniciar cualquier interacción en la cadena. Esto asegura que su La configuración segura de hardware solo se relaciona con lugares de mercado verificados.

Cómo unir criptomonedas entre cadenas: tutorial completo entre cadenas 2026Cómo utilizar 1 pulgada para swaps: órdenes clásicas, de fusión y con límite (2026)Tutorial de OKX Web3 Wallet 2026: Guía de configuración de cadenas múltiples