← Volver a la secciónREBEL
TopWalletSeguridad DigitalPhishing & Drainers: Anatomía de un Robo Cripto Moderno
INTERMEDIO10 min

🎣Phishing & Drainers: Anatomía de un Robo Cripto Moderno

Resumen

Los drainers son contratos maliciosos diseñados para vaciar wallets en una sola firma. Combinados con phishing sofisticado, robaron más de $500M en 2024. Entender cómo operan es la única defensa efectiva.

El kit de phishing como servicio

El phishing cripto evolucionó: ya no son emails toscos con faltas de ortografía. Existen plataformas SaaS (Inferno Drainer, Angel Drainer, Pink Drainer) que venden kits completos: sitio web idéntico al original, drainer contract auditado para evadir detección, y panel de control en tiempo real. El atacante solo necesita conseguir tráfico — vía Google Ads, comentarios en Twitter de proyectos famosos, o DMs en Discord. Los operadores se llevan 80% del botín, el desarrollador del drainer el 20%.

Las 3 firmas mortales

Los drainers no roban tu seed phrase — te hacen firmar transacciones que les ceden control. Las tres más comunes: (1) Approve unlimited: firmas un permiso ilimitado sobre un token, el drainer drena ese token cuando quiera. (2) Permit (EIP-2612): firma off-chain que parece inocua pero da el mismo poder que un approve. (3) SetApprovalForAll: firma una sola vez y todos tus NFTs de esa colección son vulnerables. La firma parece técnica, el sitio dice "verificación gratis" o "claim airdrop", y haces clic.

Defensa práctica: el checklist anti-drainer

(1) Wallet separada para interacciones: no uses tu wallet principal en sitios nuevos — usa una con cantidades mínimas. (2) Revoke.cash semanal: revisa y revoca approvals antiguos. (3) Lee CADA firma: si la app pide approve unlimited, sospecha; lo normal es approve por cantidad exacta. (4) Hardware wallet con pantalla clara: el dispositivo muestra qué firmas, no lo que dice el sitio. (5) Pocket Universe / Wallet Guard / Blockaid: extensiones que detectan drainers en tiempo real. (6) Bookmarks, no Google: nunca llegues a Uniswap/OpenSea desde un buscador.

Puntos clave

  • Los drainers son negocio: kit SaaS + dashboard + comisión 80/20
  • Te hacen firmar approve/permit/setApprovalForAll, no piden seed phrase
  • Una firma off-chain (EIP-2612) puede ser tan letal como una on-chain
  • Wallet de interacciones + revoke.cash semanal = 90% de la defensa
  • Hardware wallet con pantalla = ves qué firmas realmente, no lo que dice el sitio

Advertencia

Si un sitio te pide firmar 'gratis' para verificar wallet, reclamar airdrop, mintear NFT inesperado o conectar para 'reactivar cuenta' — es 99% un drainer. Cierra la pestaña y revisa la URL real del proyecto desde Twitter oficial verificado.

← Volver a la sección⚖ Comparador de 35 Wallets →