Lo que revela un hackeo de 440.000 $ sobre la creciente amenaza de las 'estafas por permiso' en Ethereum

En resumen

• Un titular de USDC perdió más de 440.000 $ tras firmar una transacción “permit” maliciosa.
• Los ataques de phishing mediante “permit” representaron algunas de las mayores pérdidas individuales de criptomonedas en noviembre.
• Expertos advierten que los estafadores se aprovechan del error humano y que la recuperación es muy poco probable.

Centro de Arte, Moda y Entretenimiento de Decrypt.

Descubre SCENE

Un hacker se llevó más de 440.000 $ en USDC después de que el propietario de una cartera firmase sin saberlo una firma “permit” maliciosa, según un tuit publicado el lunes por Scam Sniffer.

El robo se produce en medio de un aumento de las pérdidas por phishing. Según el informe mensual de Scam Sniffer, en noviembre se drenaron aproximadamente 7,77 millones de dólares de más de 6.000 víctimas, lo que representa un aumento del 137% en las pérdidas totales respecto a octubre, incluso cuando el número de víctimas cayó un 42%.

🚨 Alguien perdió 440.358 $ en $USDC tras firmar una firma “permit” maliciosa. pic.twitter.com/USjHRUY3Lc

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 8 de diciembre de 2025

“La caza de ballenas se intensificó con un golpe máximo de 1,22 millones de dólares (firma permit). A pesar de menos ataques, las pérdidas individuales crecieron significativamente”, señaló la empresa.

¿Qué son las estafas permit?

Las estafas basadas en “permit” se centran en engañar a los usuarios para que firmen una transacción que parece legítima pero que, en realidad, otorga silenciosamente a un atacante el derecho a gastar sus tokens. Las dapps maliciosas pueden disfrazar campos, falsificar nombres de contratos o presentar la solicitud de firma como algo rutinario.

Si un usuario no revisa los detalles detenidamente, firmar la solicitud efectivamente otorga al atacante permiso para acceder a todos los tokens ERC-20 del usuario. Una vez concedido, los estafadores suelen drenar los fondos de inmediato.

El método explota la función permit de Ethereum, diseñada para facilitar las transferencias de tokens permitiendo a los usuarios delegar derechos de gasto a aplicaciones de confianza. La comodidad se convierte en vulnerabilidad cuando esos derechos se conceden a un atacante.

“Lo especialmente complicado de este tipo de ataque es que los atacantes pueden llevar a cabo el permiso y la transferencia de tokens en una sola transacción (un enfoque de tipo ‘golpea y corre’) o bien darse acceso a través del permiso y luego quedarse en espera para transferir fondos añadidos posteriormente (siempre que establezcan una fecha límite de acceso suficientemente lejana dentro de los metadatos de la función permit)”, explicó Tara Annison, jefa de producto en Twinstake, a Decrypt.

“El éxito de este tipo de estafas se basa en que firmes algo sin darte cuenta exactamente de lo que hará,” añadió, subrayando que, “todo gira en torno a la vulnerabilidad humana y a aprovecharse de la impaciencia de las personas.”

Annison añadió que este incidente está lejos de ser aislado. “Hay muchos ejemplos de alto valor y alto volumen de estafas de phishing diseñadas para engañar a los usuarios y hacerles firmar algo que no entienden completamente. A menudo se presentan como airdrops gratuitos, páginas de proyectos falsos para conectar tu cartera o advertencias de seguridad fraudulentas para comprobar si has sido afectado,” añadió.

Cómo protegerte

Los proveedores de carteras han ido incorporando más funciones de protección. MetaMask, por ejemplo, advierte a los usuarios si un sitio parece sospechoso e intenta traducir los datos de la transacción a una intención comprensible para humanos. Otras carteras destacan de forma similar las acciones de alto riesgo. Pero los estafadores continúan adaptándose.

Harry Donnelly, fundador y CEO de Circuit, dijo a Decrypt que los ataques de tipo permit “son bastante comunes” y pidió a los usuarios comprobar las direcciones del remitente y los detalles del contrato.

“Esa es la forma más clara de saber que, si es un protocolo que no coincide con donde realmente quieres enviar los fondos, probablemente sea alguien intentando robarlos,” indicó. “Puedes comprobar la cantidad, a menudo intentarán dar permisos ilimitados, algo así.”

Annison enfatizó que la vigilancia sigue siendo la mayor defensa de los usuarios. “La mejor manera de protegerte de una estafa permit, approveAll o transferFrom es asegurarte de que sabes exactamente qué estás firmando. ¿Qué acciones se realizarán realmente en la transacción? ¿Qué funciones se están usando? ¿Coinciden con lo que pensabas que estabas firmando?”

“Muchas carteras y dapps han mejorado sus interfaces de usuario para que no firmes a ciegas y puedas ver el resultado, así como advertencias sobre el uso de funciones de alto riesgo. Sin embargo, es importante que los usuarios revisen activamente lo que firman y no simplemente conecten su cartera y pulsen firmar,” señaló.

Una vez robados, la recuperación de los fondos es improbable. Martin Derka, cofundador y responsable técnico de Zircuit Finance, dijo a Decrypt que las posibilidades de recuperar los fondos son “básicamente nulas”.

“En los ataques de phishing, te enfrentas a una persona cuyo único objetivo es quedarse con tus fondos. No hay negociación, ni punto de contacto y, a menudo, ni siquiera se sabe quién es la contraparte”, explicó.

“Estos atacantes juegan al juego de los números,” añadió Derka, “una vez que el dinero se ha ido, se ha ido. La recuperación es prácticamente imposible.”