Cargando precios…
Zipp Zipp Publicitar
Registrarse Iniciar sesión

¿Qué es un wallet drainer? Approval phishing explicado

Los wallet drainers son la herramienta dominante de robo on-chain 2024-2026 — smart contracts maliciosos que drenan una wallet en el momento que firmas una sola aprobación de aspecto inocente. Aquí cómo funcionan, los incidentes millonarios y cómo parar uno antes de firmar.

security Zipp · 10 min de lectura ·
¿Qué es un wallet drainer? Approval phishing explicado

Por qué importa

Si lees sobre una wallet drenada "en una sola firma" en 2024-2026, el mecanismo técnico es casi siempre un wallet drainer. El patrón domina porque es excepcionalmente coste-efectivo para atacantes: escribe el contrato una vez, pégalo detrás de una docena de sites de phishing y anuncios, espera. Kits drainer-as-a-service — Pink Drainer, Inferno Drainer, Angel Drainer, Pussy Drainer, otros — proveen el contrato y la infraestructura a cualquiera con un kit de phishing, con el operador llevándose 20-30% de los fondos robados. Chainalysis y SlowMist reportan consistentemente que los drainers han representado cientos de millones de dólares en pérdidas retail cada año desde 2023.

La buena noticia: cada ataque drainer requiere una acción humana — firmar una transacción que el usuario en realidad no quería hacer. Una vez entiendes la forma de esa solicitud de firma, puedes rechazarla.

Si aún no has leído estafas cripto comunes, esa página cubre el panorama más amplio; esta página es el deep dive técnico sobre el patrón único más activo.

Cómo funciona realmente un wallet drainer

La cadena de ataque canónica:

  1. Anzuelo. La víctima visita un site phishing — mint NFT falso, reclamo airdrop falso, DEX falso, página "migración" falsa para un protocolo real, a veces vía un anuncio Google o cuenta Twitter verificada hackeada.
  2. Conexión de wallet. El site pide al usuario conectar la wallet. Conectar solo no pierde fondos; solo comparte la dirección. Es la rampa de social engineering.
  3. Solicitud de firma maliciosa. En segundos, el site dispara un popup. Pide firmar una de varias transacciones engañosas: aprobación ERC-20 ilimitada, firma Permit/Permit2, setApprovalForAll para NFTs, o transferencia directa disfrazada de "claim".
  4. Drainer tira de los fondos. Una vez firmado, el contrato drainer llama inmediatamente al transferFrom aprobado (o ejecuta el permit firmado) y mueve los tokens al atacante. Para aprobaciones ilimitadas, el drainer puede quedarse latente semanas y drenar cuando el balance crezca.
  5. Fondos lavados. En minutos, los fondos robados se dividen, swapean a ETH, ruedan por Tornado Cash o mixer similar, se bridge a otra chain o se mandan a un centralizado.

Toda la secuencia — desde la firma del usuario hasta los fondos en la wallet del atacante — es a menudo bajo 30 segundos. No hay botón "undo" en una blockchain.

Los tipos específicos de firma que los drainers abusan

Aprobación ERC-20 ilimitada

La más común. Protocolos DeFi normales piden aprobaciones (p.ej. Uniswap necesita permiso para gastar tu USDC). Los drainers también piden — pero por una cantidad arbitraria (a menudo type(uint256).max — "ilimitada") y otorgada al contrato drainer, no a un DEX conocido. Una vez otorgada, el drainer puede llamar transferFrom y mover cada token de ese tipo en tu wallet. El usuario ve algo como "Aprobar USDC para [Spender]" y firma — el spender es el drainer.

Firmas Permit / Permit2

EIP-2612 "permit" deja al usuario otorgar aprobación sin pagar gas — solo una firma off-chain que alguien (el spender) puede enviar on-chain después. Permit2 de Uniswap generalizó esto a múltiples tokens y uso multi-protocolo. Los drainers aman las firmas permit porque parecen requests "sign-in" benignos en muchas wallets y muchos usuarios no se dan cuenta de que un permit firmado puede ejecutarse semanas después.

setApprovalForAll para NFTs

Colecciones NFT ERC-721 y ERC-1155 tienen una función setApprovalForAll que otorga permiso para mover cada NFT de una colección. Drainers que apuntan a wallets NFT valiosas piden esta firma disfrazada de acción "claim", "verify" o "reveal". Una vez firmada, cada NFT de la colección target puede ser transferido.

Transferencia directa disfrazada de claim

Menos sutil pero todavía efectivo: un botón falso "claim" o "migrate" llama a una función cuyo nombre es inocuo pero cuyo payload es realmente una transferencia de todo el ETH de la wallet (o un token específico) al drainer. El popup mostrará la transacción enviando tokens; usuarios que firman sin leer la pierden.

Mensajes firmados y firmas EIP-712

Algunos drainers usan firmas de datos estructurados (EIP-712) que parecen mensajes de login o acuerdo off-chain. El mensaje firmado es en realidad una meta-transacción que el drainer transmite on-chain para extraer fondos. Esto es más difícil de detectar porque las wallets a menudo muestran la firma como objeto legible en vez de una alerta clara "enviar fondos".

Incidentes drainer notables 2024-2026

Solo Inferno Drainer fue reportado robando más de 80 millones de dólares de decenas de miles de víctimas antes de afirmar retirarse a fines de 2023 — un servicio reemplazado casi inmediatamente por clones. Pink Drainer continuó por 2024 y robó cantidades reportadas en el rango 70M$+ de muchos incidentes, incluido un compromiso de alto perfil de cuentas Twitter cripto conocidas que retransmitieron links maliciosos. Angel Drainer fue ligado a múltiples campañas wallets-as-a-service en 2024-2025, incluidos ataques DM mediados por bots en servidores Discord.

Incidentes individuales han incluido robos millonarios de wallets únicas que firmaron una aprobación — un caso 2024 notable vio 69 millones en WBTC movidos con un ataque de address-spoofing que combinó drainer con address-poisoning. La categoría es lo bastante grande para que las firmas de chain analytics rastreen movimientos agregados de wallets drainer como indicador líder de qué sites y cuentas Twitter son actualmente maliciosos.

Banderas rojas / checklist antes de firmar

Cada hit drainer depende últimamente de un usuario firmando una transacción específica. Tratar cualquiera de éstas como bandera roja por defecto evitará la gran mayoría de incidentes:

  • El site es uno al que llegaste vía búsqueda, anuncio, DM o tweet fijado — no un bookmark. Los drainers viven en anuncios patrocinados y cuentas "verificadas" hackeadas. URLs marcadas casi nunca drenan.
  • La firma es para una dirección spender desconocida. Aprobaciones a protocolos conocidos (Uniswap, Aave, Curve) son normales. Aprobaciones a direcciones sin verificación de contrato, sin etiqueta Etherscan, sin historial no lo son.
  • La firma es por una cantidad ilimitada (uint256.max). Wallets modernas (MetaMask, Phantom, Rabby) marcan esto. Limita las aprobaciones a la cantidad específica que necesitas, no la default "ilimitada".
  • El popup es una "firma" más que una transacción. Las firmas Permit y EIP-712 no cuestan gas y se sienten como un login click-through — pero son autorizaciones sin gas que pueden ser retransmitidas on-chain para mover fondos. Muchas wallets ahora muestran advertencias explícitas para patrones permit conocidos como maliciosos; léelas.
  • El site presiona un botón "claim" o "verify" o "migración". Los claims reales vienen normalmente desde la URL oficial del proyecto bookmarkeada de antemano. Sites nuevos con botones claim son el 95% de la superficie drainer.
  • Timing urgente. "Solo 24 horas", "plazas limitadas", "migración de emergencia antes de deprecación" — los drainers corren con urgencia.
  • Los detalles de la transacción del popup parecen mal. Si dice "enviar 1,4 ETH" cuando esperabas recibir un NFT gratis, rechaza. Wallets y herramientas modernas como Wallet Guard, Pocket Universe y Blockaid anotan transacciones con advertencias de riesgo — hazles caso.

Qué hacer si firmaste

Si firmaste una transacción drainer, cada segundo cuenta. Manual estándar:

  1. Mueve cada otro token inmediatamente. Si tienes NFTs u otros activos aún en la wallet, mándalos a una nueva ahora. El drainer normalmente está scripteado para tomar primero los tokens más valiosos, después barrer polvo.
  2. Revoca todas las aprobaciones en la wallet comprometida. Usa revoke.cash o el manager built-in de tu wallet para revocar cada aprobación activa (y setApprovalForAll de NFTs). Es la única forma de parar un drainer dormido que aprobó ilimitado y espera nuevos depósitos.
  3. Quema la wallet para cualquier uso futuro meaningful. Si firmaste una aprobación ilimitada y solo revocas algunas, el drainer aún puede drenar tokens entrantes. El movimiento seguro es abandonar la wallet enteramente para las clases de token afectadas — e idealmente para todo.
  4. Documenta. Captura el site, el popup de wallet, el hash de transacción. Lo necesitarás para cualquier reporte.
  5. Reporta la dirección drainer a chain analytics. Chainalysis, TRM Labs, SlowMist y Etherscan aceptan reportes. La dirección se flaggea para exchanges centralizados — ocasionalmente wallets drainer se congelan en cashout, devolviendo una fracción pequeña.
  6. No aceptes ofertas de "recuperación". A horas del hit drainer recibirás DMs ofreciendo recuperar tus fondos por una comisión. Son a su vez estafas. Ningún servicio pago legítimo puede revertir una transferencia blockchain.

Cómo mantenerte protegido

  • Usa hardware wallet para balances meaningful. Hardware wallets te fuerzan a leer la transacción (o firma) real en una pantalla pequeña a la que el atacante no llega. Leer la dirección spender y la cantidad en el dispositivo es la defensa drainer única más efectiva.
  • Opera con división caliente/fría. Mantén una pequeña wallet de interacción separada para sites nuevos y exploración DeFi. Mantén balances principales en hardware wallet que firma solo transacciones de protocolos conocidos.
  • Bookmarkea URLs oficiales y úsalas. Nunca llegues a wallet, exchange, mint o site claim vía búsqueda, anuncio, DM o link social. Los drainers ranquean por encima de dominios reales en anuncios Google y en posts Twitter "verificados" comprometidos.
  • Audita y revoca aprobaciones cada pocos meses. Usa revoke.cash para EVM, herramientas similares para Solana. Una aprobación vieja a una dApp olvidada hace mucho es una puerta trasera que existe hasta que la cierras. Hazlo hábito.
  • Pon aprobaciones limitadas, no ilimitadas. MetaMask, Phantom y Rabby te dejan elegir cantidad de aprobación custom. Elige "la cantidad que necesito ahora", no "ilimitada" — incluso en protocolos legítimos.
  • Instala extensiones de análisis de transacciones. Wallet Guard, Pocket Universe, Blockaid, Fire — inspeccionan transacciones client-side y advierten sobre patrones drainer conocidos antes de firmar. No son perfectos pero atrapan la gran mayoría de ataques enlatados.
  • Trata cada solicitud de firma como si te costara todo el balance. La mayoría no, pero los pocos que sí se comportan como el resto hasta que miras de cerca. Default-deny y re-lee hasta que algo diga exactamente lo que esperas.

Para la taxonomía más amplia y hábitos operativos, ver estafas cripto comunes; para la arquitectura de almacenamiento que protege fondos incluso si una hot wallet es drenada, ver cómo almacenar cripto de forma segura y mejores wallets cripto 2026.

Vigila las campañas drainer, vigila las noticias

Los kits drainer rotan campañas semanalmente — una nueva URL maliciosa entra en vivo en una cuenta Twitter hackeada, el site oficial de una colección NFT es comprometido, un anuncio Google empuja un instalador Phantom falso. Estos suelen pegar en la prensa de seguridad horas antes de pegar en tu timeline. Zippfeed sigue titulares de seguridad y tokens mayores con puntuación de sentimiento e importancia, para que veas campañas drainer activas e infraestructura comprometida pronto — útil ya corras una hot wallet para DeFi, evalúes un nuevo mint o solo quieras saber qué amenazas de la semana merecen extra precaución.

Preguntas frecuentes

¿Qué es un wallet drainer?
Un wallet drainer es un smart contract malicioso — normalmente emparejado con un site de phishing — que vacía una wallet en el momento que un usuario firma una sola transacción engañosa. La transacción es típicamente una aprobación de token, una firma Permit o un setApprovalForAll de NFT que otorga permiso al drainer para mover fondos. Han sido el patrón dominante de robo on-chain 2024-2026, robando cientos de millones al año.
¿Cómo funciona el approval phishing?
Un usuario visita un site phishing que le pide conectar su wallet y luego firmar una transacción o firma. La transacción parece un click-through pero es en realidad una aprobación ERC-20 ilimitada, un Permit, o un setApprovalForAll. Una vez firmada, el contrato drainer usa ese permiso para transferir tokens fuera de la wallet — a veces instantáneamente, a veces semanas después cuando el balance crece.
¿Cómo sé si una transacción es un intento de wallet drainer?
Banderas rojas: la dirección spender es desconocida o no verificada, la cantidad de aprobación es "ilimitada" (uint256.max), el popup es una firma Permit sin gas en lugar de transacción normal, el site usa lenguaje de urgencia ("reclama antes de mañana"), o llegaste al site vía anuncio / DM / tweet fijado en vez de un bookmark conocido. Extensiones como Wallet Guard, Pocket Universe y Blockaid anotan patrones drainer conocidos.
¿Qué hago después de firmar una transacción wallet drainer?
Mueve cualquier token o NFT restante a una nueva wallet inmediatamente, luego usa revoke.cash (o el gestor de aprobaciones de tu wallet) para revocar cada aprobación activa y setApprovalForAll en la wallet comprometida. Si se firmó un Permit no siempre se puede revocar, así que el movimiento más seguro es abandonar la wallet entera para las clases de token afectadas. Documenta y reporta la dirección drainer, pero no pagues por ningún "servicio de recuperación" — son ellos mismos estafas.

Guías relacionadas