$24M En minutos: así fue cómo la ballena de phishing fue drenada

Un tiburón de las criptomonedas aprendió por las malas por qué nunca hay que hacer clic en enlaces aleatorios. En septiembre de 2023, alguien perdió $24 millón a través de un ataque de phishing en el servicio de staking de Rocket Pool, y justo ahora, el hacker movió $10 millón en ETH a Tornado Cash, probablemente preparándose para retirar fondos.

Qué Sucedió Realmente

El atacante utilizó un truco clásico de ingeniería social: logró que la víctima autorizara una transacción de “Aumentar Permiso”. Suena inocente, ¿verdad? Pero aquí está el truco: este permiso básicamente le dio al hacker un cheque en blanco para vaciar cualquier token ERC-20 de esa cartera.

En dos oleadas, el atacante drenó:

• 9,579 stETH (Ethereum en stake)
• 4,851 rETH (tokens de recibo de Rocket Pool)

Daño total: $24 millón.

La Huella del Dinero

Detectives de blockchain en PeckShield rastrearon los fondos que se intercambiaron por 13,785 ETH y 1.64 millones de DAI. El $10 millón en ETH acaba de llegar a Tornado Cash (un servicio de mixing) el 21 de marzo—una maniobra clásica de lavado de dinero para ocultar la pista de la transacción.

Esto no es un caso aislado. Solo en febrero, estafas de phishing drenaron casi $47 millón de usuarios de criptomonedas, con un 78% en Ethereum y un 86% en tokens ERC-20.

El Verdadero Problema: Las Aprobaciones de Tokens Son Peligrosas

Aquí está lo que la mayoría no se da cuenta: cuando interactúas con un protocolo DeFi o acuñas un NFT, a menudo estás firmando un contrato inteligente que dice “esta dirección puede mover mis tokens”. Si ese contrato o el sitio web está comprometido, estás en problemas.

Solo días después de este hackeo, otra víctima fue afectada a través de un contrato antiguo de la plataforma Dolomite—$1.8 millones drenados de usuarios que previamente habían aprobado esa dirección. Dolomite tuvo que actuar rápidamente, pidiendo a los usuarios que revocaran esas aprobaciones lo antes posible.

La Luz al Final del Túnel

No todos los ataques tienen éxito a gran escala. Cuando el sitio web de Layerswap fue comprometido el 20 de marzo, su proveedor de DNS lo detectó lo suficientemente rápido, y solo se llevaron $100,000 (afectando a unos 50 usuarios). Están reembolsando a todos y ofreciendo compensaciones adicionales.

Lo Que Realmente Debes Hacer

1. Nunca apruebes tokens ilimitados—la mayoría de los protocolos te permiten establecer un límite personalizado.
2. Revoca aprobaciones antiguas que ya no uses (revisa Etherscan o revoke.cash).
3. Verifica las URLs antes de conectar—los sitios de phishing lucen idénticos a los reales.
4. Piensa dos veces antes de firmar contratos—especialmente en DMs de Discord o enlaces aleatorios.

Las empresas de seguridad en cripto y la comunidad necesitan mejores sistemas de advertencia temprana, pero honestamente? La opción más segura es la paranoia. Supón que cada enlace es falso hasta que se demuestre lo contrario.