Un inversor de criptomonedas ha sufrido una pérdida devastadora de más de 440.000 dólares en USDC tras caer víctima de las crecientes estafas de permiso. Según los datos reportados por la firma de seguridad Scam Sniffer, el ataque ocurrió el lunes cuando el propietario de la billetera firmó, sin saberlo, una autorización maliciosa que otorgaba control total sobre sus fondos a un tercero, marcando otro episodio crítico en la seguridad de los activos digitales.
El robo se ejecutó aprovechando una vulnerabilidad en la interacción del usuario, eliminando una suma considerable en cuestión de segundos. Datos recientes del informe mensual de Scam Sniffer indican que, durante noviembre, se drenaron aproximadamente 7,77 millones de dólares de más de 6.000 víctimas, lo que representa un aumento del 137% en las pérdidas totales en comparación con octubre. Aunque el número de víctimas individuales disminuyó un 42%, el valor promedio de los robos aumentó drásticamente, sugiriendo que los delincuentes ahora priorizan la «caza de ballenas» o inversores con grandes capitales.
Este tipo de fraude explota la función de «permiso» de Ethereum, diseñada para facilitar transacciones sin gas al delegar derechos de gasto a aplicaciones confiables. Sin embargo, los atacantes disfrazan estas solicitudes en interfaces web aparentemente legítimas o mediante tácticas de ingeniería social. Tara Annison, jefa de producto en Twinstake, explica que los estafadores pueden ejecutar el robo en una sola transacción rápida o, de manera más insidiosa, obtener el permiso y permanecer inactivos esperando que se añadan más fondos antes de drenar la billetera por completo en el futuro.
¿Por qué las billeteras digitales no logran detener estos fraudes sofisticados?
Por otra parte, la sofisticación de estos ataques radica en su capacidad para eludir las alertas de seguridad estándar de muchas interfaces de usuario. Harry Donnelly, CEO de Circuit, señala que estas amenazas están muy extendidas y dependen casi exclusivamente del error humano al no verificar los detalles del contrato. Si el protocolo no coincide exactamente con el destino previsto de los fondos, es una señal clara de que alguien está intentando robar los activos mediante aprobaciones ilimitadas, una práctica que sigue siendo el talón de Aquiles para muchos usuarios experimentados en la blockchain.
Asimismo, los proveedores de billeteras como MetaMask han comenzado a implementar advertencias más claras, pero los estafadores adaptan sus métodos constantemente. La seguridad, por ende, recae en la vigilancia del usuario al interactuar con cualquier contrato inteligente. Annison enfatiza que la mejor defensa es comprender exactamente qué funciones se están firmando, ya que muchas veces estas estafas se presentan bajo la apariencia de airdrops gratuitos o advertencias de seguridad falsas diseñadas para generar pánico y urgencia en la víctima.
Finalmente, las perspectivas de recuperación para los afectados por estos incidentes son desoladoras. Martin Derka, cofundador de Zircuit Finance, advierte que las posibilidades de recuperar el dinero son «básicamente cero», ya que no hay contraparte con la cual negociar. Una vez que los fondos salen de la billetera, la inmutabilidad de la red hace que la restitución sea esencialmente imposible, lo que obliga a la comunidad a centrarse en la prevención y la educación como únicas barreras efectivas contra el crimen.
