How can I tell if an NFT marketplace is legitimate?

Always verify the exact URL in your browser's address bar matches the official website (bookmark legitimate sites to avoid typos). Check the project's Twitter account for a blue verification badge (not purchased verification), look for consistent branding and professional website design, and confirm the marketplace has been operating for at least 12-18 months with documented transaction history on blockchain explorers like Etherscan.

What should I do if I've already approved a malicious smart contract?

Immediately revoke the approval using platforms like revoke.cash or etherscan.io's token approval checker. Move any remaining funds and NFTs to a new wallet address created from a fresh seed phrase. Do not send cryptocurrency to this wallet from exchanges or your old wallet, as the scammer may monitor it for activity. Consider the compromised wallet a total loss and cease using it.

Are NFTs on established platforms like OpenSea and Magic Eden safe?

Established platforms provide significantly more protection through smart contract audits, dispute resolution processes, and fraud detection tools. However, individual creators can still list malicious NFTs, so your responsibility is to verify the creator's legitimacy, review the smart contract code if possible, and check the NFT's transaction history. Even on legitimate platforms, due diligence is essential before making purchases.

Can I recover stolen NFTs or cryptocurrency?

Blockchain transactions are irreversible, making recovery extremely difficult. However, you should report the scam to the FBI's Internet Crime Complaint Center (IC3.gov), your country's financial regulator, and the relevant blockchain network's fraud team. If significant sums are involved, consult with a lawyer specializing in cryptocurrency fraud, though legal recovery typically requires identifying the scammer—which is rare without law enforcement resources.

What's the difference between a rugpull and other NFT scams?

A rugpull is a specific type of scam where a project's creators intentionally abandon the project and steal collected funds, usually after building significant hype. Other NFT scams include wallet drains through malicious contracts, marketplace impersonation, and phishing. Rugpulls typically promise a product or utility that was never intended to be delivered, while other scams aim to steal existing assets from your wallet. Both are financial crimes, but rugpulls often involve premeditation and larger sums.

High Risk Average Loss: $5,000 Typical Duration: 1-7 days

Estafas con NFT: Cómo proteger tus activos digitales

Las estafas con NFT (tokens no fungibles) se han convertido en uno de los esquemas de fraude con criptomonedas de más rápido crecimiento, con víctimas perdiendo miles de millones anualmente. Estas estafas explotan la relativa novedad y complejidad de la tecnología blockchain, dirigiéndose tanto a inversores experimentados en criptomonedas como a principiantes que buscan incursionar en el espacio de NFT. El crecimiento rápido del mercado —las ventas de NFT superaron los $25 mil millones en 2021— ha atraído a estafadores sofisticados que crean mercados contrafechos, colecciones falsas de NFT y esquemas de ingeniería social para robar billeteras digitales y criptomonedas. Lo que hace que las estafas con NFT sean particularmente peligrosas es su velocidad: la mayoría de las víctimas reportan pérdidas entre 1 y 7 días después del compromiso, y la naturaleza irreversible de las transacciones blockchain significa que los activos robados son prácticamente imposibles de recuperar. Las estafas con NFT más comunes se dividen en tres categorías principales: rugpulls (donde los desarrolladores abandonan proyectos después de recopilar fondos de inversores), suplantación de mercados (versiones falsas de OpenSea, Magic Eden y otras plataformas), y drenaje de billeteras a través de contratos inteligentes maliciosos y phishing. Según Chainalysis, aproximadamente el 14% de todas las pérdidas por estafas de criptomonedas en 2022 involucraron NFT, con la víctima promedio de estafa con NFT perdiendo entre $5,000 y $15,000. Los estafadores se han vuelto altamente sofisticados, creando réplicas casi perfectas de plataformas legítimas, cuentas verificadas en redes sociales y comunidades de Discord para construir credibilidad falsa. El anonimato de las transacciones blockchain y la falta de supervisión regulatoria hacen que la persecución sea prácticamente imposible, dejando a las víctimas con poco recurso para recuperar sus fondos.

Common Tactics How to Identify How to Protect Yourself Real-World Examples Frequently Asked Questions

Common Tactics

• Crear sitios web de mercados NFT falsos (contrafaciendo OpenSea, Magic Eden, Blur) que parecen idénticos a plataformas legítimas, completos con diseños clonados y sistemas de pago que redirigen fondos a billeteras de estafadores.
• Lanzar proyectos de 'rugpull' donde los desarrolladores prometen colecciones exclusivas de NFT, generan expectativa a través de Discord y Twitter, recopilan millones en compras, y luego desaparecen con todos los fondos mientras abandonan el proyecto.
• Suplantar a creadores y proyectos verificados de NFT en redes sociales, compartiendo enlaces falsos de acuñación a colecciones contrafechas que drenan billeteras conectadas usando contratos inteligentes maliciosos.
• Crear servidores fraudulentos de Discord de 'whitelisting' o 'allowlist' que requieren que los usuarios depositen criptomonedas para 'verificar' su elegibilidad, con los fondos depositados siendo robados inmediatamente.
• Distribuir estafas de airdrop a través de tokens NFT falsos que aparecen en billeteras, tentando a los usuarios a interactuar con contratos maliciosos que solicitan aprobación de billetera y drenan todos los activos conectados.
• Realizar ataques de 'floor sweep' donde los estafadores compran sus propios NFT a precios inflados para establecer falsamente valuaciones, luego vendiendo NFT sin valor a compradores engañados a precios premium.

How to Identify

La URL del sitio web es ligeramente diferente a la plataforma legítima (p. ej., 'opensea-official.com' en lugar de 'opensea.io'), o utiliza una extensión de dominio diferente (.net, .xyz, .io en lugar de .io).
Las cuentas de redes sociales del proyecto fueron creadas recientemente, carecen de historial de compromiso, o tienen insignias de verificación compradas a través de servicios de terceros en lugar de ser otorgadas por la plataforma.
Las tarifas de gas para transacciones son inusualmente altas (500+ Gwei) o la transacción parece estar aprobando gasto ilimitado de tokens a direcciones de contratos inteligentes desconocidas.
El proyecto de NFT promete rendimientos garantizados o utiliza lenguaje de alta presión como 'oferta limitada' o 'solo 100 espacios disponibles' para apresurarte a decidir en pocas horas.
La comunidad de Discord o Telegram contiene numerosos errores ortográficos en mensajes oficiales, bots que solo dirigen a usuarios a enlaces externos, o canales donde las preguntas legítimas se eliminan inmediatamente.
El NFT tiene un historial de transacciones que muestra precios manipulados a través de wash trading (la misma billetera comprando y vendiendo repetidamente), o precios de piso que aumentan sin realismo dentro de 24 horas del lanzamiento.

How to Protect Yourself

Verifica el sitio web oficial y las cuentas de redes sociales consultando el repositorio de GitHub del proyecto, el historial de transacciones blockchain anterior, y verificando referencias cruzadas con fuentes de noticias de criptomonedas establecidas como CoinDesk o The Block.
Utiliza billeteras de hardware (Ledger, Trezor) para almacenar NFT y criptomonedas en lugar de billeteras basadas en navegador o de intercambio, y solo conecta billeteras de hardware a mercados usando aplicaciones oficiales de billetera de hardware.
Revisa cuidadosamente los permisos de contratos inteligentes antes de aprobar cualquier transacción: nunca apruebes gasto ilimitado, solo aprueba la cantidad exacta necesaria para la transacción, y revoca aprobaciones no utilizadas en plataformas como Etherscan.
Investiga el equipo del proyecto exhaustivamente verificando sus identidades reales, revisando su historial profesional en LinkedIn, examinando proyectos anteriores completados, y confirmando su participación a través de múltiples fuentes independientes.
Marca como favorito los mercados legítimos de NFT (opensea.io, blur.io, magic-eden.com) y accede siempre a través de marcadores en lugar de hacer clic en enlaces de redes sociales, correos electrónicos o mensajes de Discord.
Habilita autenticación multifactor (2FA) en todas las cuentas de intercambio de criptomonedas y billetera, utiliza contraseñas únicas y fuertes gestionadas por un gestor de contraseñas, y nunca compartas tu frase de recuperación o claves privadas bajo ninguna circunstancia.

Real-World Examples

Un inversor descubrió un proyecto NFT basado en Ethereum llamado 'MetaVerse Elite' a través de una invitación de Discord. El proyecto tenía 5,000 seguidores, un sitio web de aspecto profesional, y prometía acceso temprano a bienes raíces digitales exclusivos. Después de depositar 2 ETH ($3,400) para acuñar NFT, el servidor de Discord se desconectó, el sitio web se volvió inaccesible, y el contrato fue vaciado inmediatamente de todos los fondos. Toda la operación duró 18 horas.

Una víctima visitó lo que parecía ser el sitio web oficial de OpenSea (en realidad opensea-official.net) después de hacer clic en un enlace en lo que parecía un correo electrónico oficial. Conectó su billetera MetaMask para listar su colección de NFT existente para la venta. El sitio malicioso luego le pidió que 'verificara' su billetera, lo que en realidad inició una transacción que le dio aprobación al estafador para transferir todos los NFT y saldos de tokens desde su billetera conectada.

Un coleccionista de NFT recibió un airdrop de un nuevo token llamado 'Genesis Pass' que apareció en su billetera. Emocionado por criptomonedas gratis, hizo clic en el botón 'reclamar' en el sitio web del proyecto, que solicitó aprobación de MetaMask. Otorgar esta aprobación le dio al contrato inteligente del estafador permiso para drenar la billetera de ETH, USDC y otros tokens conectados por un valor aproximado de $8,500, todo procesado en minutos.

Frequently Asked Questions

¿Cómo puedo saber si un mercado de NFT es legítimo?

Siempre verifica que la URL exacta en la barra de direcciones de tu navegador coincida con el sitio web oficial (marca como favorito sitios legítimos para evitar errores tipográficos). Busca una insignia de verificación azul en la cuenta de Twitter del proyecto (no verificación comprada), observa un diseño de marca consistente y profesional del sitio web, y confirma que el mercado ha estado operando durante al menos 12-18 meses con historial de transacciones documentado en exploradores blockchain como Etherscan.

¿Qué debo hacer si ya he aprobado un contrato inteligente malicioso?

Revoca inmediatamente la aprobación usando plataformas como revoke.cash o el verificador de aprobación de tokens de etherscan.io. Transfiere cualquier fondo restante y NFT a una nueva dirección de billetera creada a partir de una nueva frase de recuperación. No envíes criptomonedas a esta billetera desde intercambios o tu billetera anterior, ya que el estafador puede monitorearla para detectar actividad. Considera que la billetera comprometida es una pérdida total y deja de usarla.

¿Son seguros los NFT en plataformas establecidas como OpenSea y Magic Eden?

Las plataformas establecidas proporcionan protección significativamente mayor a través de auditorías de contratos inteligentes, procesos de resolución de disputas y herramientas de detección de fraude. Sin embargo, los creadores individuales pueden seguir listando NFT maliciosos, por lo que tu responsabilidad es verificar la legitimidad del creador, revisar el código del contrato inteligente si es posible, y verificar el historial de transacciones del NFT. Incluso en plataformas legítimas, la debida diligencia es esencial antes de realizar compras.

¿Puedo recuperar NFT o criptomonedas robadas?

Las transacciones blockchain son irreversibles, lo que hace que la recuperación sea extremadamente difícil. Sin embargo, deberías reportar la estafa al Centro de Quejas de Crimen por Internet del FBI (IC3.gov), al regulador financiero de tu país, y al equipo de fraude de la red blockchain relevante. Si se trata de sumas significativas, consulta con un abogado especializado en fraude de criptomonedas, aunque la recuperación legal típicamente requiere identificar al estafador, lo que es raro sin recursos de cumplimiento de la ley.

¿Cuál es la diferencia entre un rugpull y otras estafas con NFT?

Un rugpull es un tipo específico de estafa donde los creadores de un proyecto intencionalmente abandonan el proyecto y roban los fondos recopilados, generalmente después de generar expectativa significativa. Otras estafas con NFT incluyen drenaje de billeteras a través de contratos maliciosos, suplantación de mercados y phishing. Los rugpull típicamente prometen un producto o utilidad que nunca fue pensado para ser entregado, mientras que otras estafas tienen como objetivo robar activos existentes de tu billetera. Ambas son crímenes financieros, pero los rugpull a menudo implican premeditación y sumas más grandes.

Empezar Aquí

Verificación de seguridad

Inteligencia

Herramientas e informes

Servicios premium

Extensión y API