What's the difference between approving a transaction and approving a token?

A transaction approval signs a single, specific action (like swapping 10 USDC for ETH). A token approval grants permission to a smart contract to move ANY amount of that token from your wallet, multiple times, until you revoke it. Scammers exploit this confusion by making users think they're signing a one-time transaction when they're actually giving unlimited access.

Can I recover tokens after they've been drained?

Recovery is extremely difficult once tokens are transferred. Blockchain transactions are irreversible, and attackers quickly move tokens through mixers (Tornado Cash) or to decentralized exchanges. Your only option is contacting the receiving exchange if you identify where tokens were sold, but this rarely results in recovery. Prevention through approval management is far more effective than recovery attempts.

Is it safe to connect my wallet to any dApp?

Connecting your wallet to a dApp only shows them your public address and balance; it doesn't automatically give access to your tokens. However, signing transactions (including approvals) is what grants permissions. Only sign transactions on verified dApps with clear descriptions of what you're approving, and always use the official domain.

How do I revoke token approvals I've already given?

You can revoke approvals using Revoke.cash, Etherscan's Approvals tab, or your wallet's built-in approval manager. Simply connect your wallet, find the approved token and contract address, and execute a revoke transaction (which costs a small gas fee). This immediately removes that contract's permission to transfer your tokens, even if it previously had unlimited access.

Why would a legitimate dApp ask for unlimited approval?

Some DeFi protocols request unlimited approval for convenience—it reduces transaction costs since users won't need to re-approve for each interaction. However, legitimate platforms like Uniswap now default to set-approval limits. If a dApp insists on unlimited approval or won't let you set a custom amount, that's a red flag indicating it may not be trustworthy.

Critical Average Loss: $20,000 Typical Duration: 1-3 days

Explotación de Aprobación de Tokens: Cómo los Estafadores Drenan Carteras Web3

Una explotación de aprobación de tokens es una estafa Web3 sofisticada donde los atacantes manipulan a los usuarios para que firmen digitalmente una transacción de contrato inteligente que otorga permiso ilimitado para transferir tokens específicos desde su cartera. A diferencia del piratería tradicional, este ataque requiere consentimiento explícito del usuario, pero las víctimas no comprenden lo que están autorizando. Una vez aprobado, los estafadores ejecutan transacciones de drenaje que transfieren tokens a direcciones controladas por atacantes, a menudo en cuestión de horas. El ataque se ha vuelto cada vez más frecuente a medida que crece las finanzas descentralizadas (DeFi); la firma de análisis de cadena de bloques Chainalysis informó que el robo basado en aprobaciones aumentó un 400% entre 2022 y 2023, con víctimas perdiendo colectivamente más de $280 millones anuales. El mecanismo explota un principio fundamental del diseño de Web3: los contratos inteligentes necesitan permisos de aprobación para interactuar con tokens de usuario. Los estafadores weaponizan esto al disfrazar solicitudes de aprobación como transacciones legítimas (afirmando ser acuñaciones de NFT, intercambios de tokens o votaciones de gobernanza) cuando en realidad están otorgando derechos de transferencia ilimitados. Lo que hace esto particularmente peligroso es el retraso temporal: las víctimas pueden no darse cuenta de que sus carteras han sido comprometidas hasta días o semanas después, momento en el cual los tokens ya han sido transferidos a servicios de mezcla e intercambios, haciendo la recuperación casi imposible.

Common Tactics How to Identify How to Protect Yourself Real-World Examples Frequently Asked Questions

Common Tactics

• Phishing con interfaces dApp engañosas: Los estafadores crean aplicaciones descentralizadas falsas que imitan plataformas legítimas (OpenSea, Uniswap, Aave), pero redirigen a los usuarios a contratos inteligentes maliciosos que solicitan aprobaciones de tokens en lugar de ejecutar la función reclamada.
• Ingeniería social a través de Discord/Telegram: Los atacantes publican enlaces falsificados en servidores comunitarios de Web3, afirmando ofrecer lanzamientos exclusivos de NFT, airdrops de gobernanza u oportunidades de agricultura de rendimiento que requieren conexión de cartera y aprobación de tokens.
• Extensiones de navegador de cartera comprometidas: Las extensiones maliciosas de Chrome o Firefox se disfrazan de herramientas MetaMask o de gestión de carteras, inyectando solicitudes de aprobación falsas en interacciones legítimas de dApp sin conocimiento del usuario.
• Explotación de confusión del usuario sobre mecánicas de aprobación: Los estafadores aprovechan el hecho de que la mayoría de los usuarios no entienden la diferencia entre aprobación de transacción (firmar una sola acción) y aprobación de token (otorgar acceso ilimitado futuro), incrustando lenguaje técnico realista en sus solicitudes.
• Campañas de pesca de rareza de NFT: Los atacantes crean plataformas de comercio falsas de NFT o lanzadores que ofrecen colecciones raras, requiriendo que los usuarios aprueben tokens para reclamar u ofertar, luego drenan inmediatamente las carteras después de otorgar la aprobación.
• Manipulación engañosa de UI/UX: Las dApp fraudulentas muestran descripciones de transacciones vagas ('Confirmar Intercambio', 'Habilitar Comercio') mientras ocultan el monto de aprobación real, a menudo estableciendo una asignación ilimitada (type(uint256).max) en el código.

How to Identify

Se te pide que apruebes un token específico pero la dApp afirma ofrecer un servicio no relacionado (como una acuñación de NFT que solicita aprobación para un token de gobernanza que no posees).
La solicitud de aprobación muestra un monto de asignación inusualmente alto o 'ilimitado' (mostrado como un número muy grande o MAX en los detalles de la transacción).
La URL de la transacción o el dominio de la dApp está ligeramente mal escrito en comparación con la versión legítima (por ejemplo, 'uniswapp.org' en lugar de 'uniswap.org').
Recibes una pantalla de confirmación de transacción que no indica claramente lo que estás aprobando o no coincide con la acción que pretendías realizar.
Tu saldo de cartera disminuye repentinamente para tokens que no has transferido explícitamente, a menudo notado al verificar el historial de cartera y ver transacciones que no iniciaste.
Una dApp legítima o cartera te pide repetidamente que vuelvas a aprobar el mismo token, lo cual solo debería ser necesario una vez a menos que la asignación se haya consumido completamente.

How to Protect Yourself

Siempre verifica dominios de dApp escribiéndolos directamente en tu navegador en lugar de hacer clic en enlaces de redes sociales, Discord o correos electrónicos; utiliza una herramienta de verificación de dominio de cadena de bloques como Revoke.cash para verificar URLs.
Utiliza un servicio de monitoreo de aprobación de tokens como Revoke.cash o la pestaña de Aprobaciones de Etherscan para auditar regularmente todas las aprobaciones de tokens activas en tu cartera y revocar permisos para servicios que ya no utilizas.
Aprueba solo la cantidad específica que necesitas para una transacción individual en lugar de una asignación ilimitada; la mayoría de las dApp legítimas permiten a los usuarios ingresar montos de aprobación personalizados.
Habilita herramientas de simulación de transacciones como Tenderly o la función de Simulación de Etherscan antes de firmar cualquier transacción para ver exactamente qué sucederá (qué tokens se moverán y hacia dónde).
Mantén tokens que no estés comerciando activamente en carteras separadas de almacenamiento en frío (carteras de hardware como Ledger o Trezor) que nunca se conecten a dApps, aislando la exposición de activos de alto valor.
Practica la estrategia de 'cartera en capas': utiliza una cartera con pequeñas cantidades para interacción y prueba de dApp, y mantén una cartera segura separada para tenencias a largo plazo, reduciendo la pérdida potencial de una dirección comprometida.

Real-World Examples

Un usuario ve un tweet que promociona un airdrop exclusivo de Ethereum L2 con recompensas garantizadas. Hace clic en el enlace, conecta su cartera MetaMask, y ve un botón etiquetado 'Reclamar Airdrop'. Antes de procesar, la dApp solicita permiso para mover sus tokens USDC (necesario para el reclamo, o eso creen). El usuario aprueba la asignación ilimitada. Dentro de 6 horas, su saldo completo de $18,000 USDC es transferido a una dirección del atacante. El airdrop era falso; la solicitud de aprobación fue el ataque real.

Un moderador de Discord en una comunidad popular de NFT comparte un enlace a un 'mercado de NFT verificado' que ofrece acceso anticipado a una colección de nivel superior. Los usuarios que conectan sus carteras reciben una solicitud para aprobar sus ETH para comercio. La interfaz muestra una sola transacción, pero oculto en el código del contrato hay una aprobación ilimitada para un token diferente (a menudo un token de gobernanza valioso que los miembros poseen). Dos días después, las víctimas descubren que sus tokens de gobernanza de Uniswap han sido drenados, totalizando $25,000 entre el grupo afectado.

Un inversor recibe un correo electrónico de phishing afirmando que su posición de préstamo en Aave requiere acción inmediata debido a 'ajustes de liquidez'. El correo electrónico vincula a lo que parece ser la interfaz real de Aave (error menor de ortografía de dominio). Iniciar sesión y 'confirmar' el ajuste desencadena una solicitud de aprobación de token que los usuarios asumen es mantenimiento de rutina. El atacante luego drena silenciosamente tokens aprobados durante la semana siguiente, momento en el cual la víctima ha dejado de monitorear esa cartera, descubriendo la pérdida de $34,000 solo durante una revisión trimestral de cartera.

Frequently Asked Questions

¿Cuál es la diferencia entre aprobar una transacción y aprobar un token?

Una aprobación de transacción firma una sola acción específica (como intercambiar 10 USDC por ETH). Una aprobación de token otorga permiso a un contrato inteligente para mover CUALQUIER cantidad de ese token desde tu cartera, múltiples veces, hasta que lo revoques. Los estafadores explotan esta confusión haciendo que los usuarios crean que están firmando una transacción única cuando en realidad están dando acceso ilimitado.

¿Puedo recuperar tokens después de que hayan sido drenados?

La recuperación es extremadamente difícil una vez que los tokens son transferidos. Las transacciones de cadena de bloques son irreversibles, y los atacantes rápidamente mueven tokens a través de mezcladores (Tornado Cash) o a intercambios descentralizados. Tu única opción es contactar al intercambio receptor si identificas dónde fueron vendidos los tokens, pero esto rara vez resulta en recuperación. La prevención a través de gestión de aprobaciones es mucho más efectiva que los intentos de recuperación.

¿Es seguro conectar mi cartera a cualquier dApp?

Conectar tu cartera a una dApp solo les muestra tu dirección pública y saldo; no les da automáticamente acceso a tus tokens. Sin embargo, firmar transacciones (incluyendo aprobaciones) es lo que otorga permisos. Solo firma transacciones en dApps verificadas con descripciones claras de lo que estás aprobando, y siempre utiliza el dominio oficial.

¿Cómo revoco aprobaciones de tokens que ya he dado?

Puedes revocar aprobaciones usando Revoke.cash, la pestaña de Aprobaciones de Etherscan, o el gestor de aprobaciones integrado de tu cartera. Simplemente conecta tu cartera, encuentra el token aprobado y la dirección del contrato, y ejecuta una transacción de revocación (que cuesta una pequeña tarifa de gas). Esto elimina inmediatamente el permiso de ese contrato para transferir tus tokens, incluso si previamente tenía acceso ilimitado.

¿Por qué una dApp legítima pediría aprobación ilimitada?

Algunos protocolos de DeFi solicitan aprobación ilimitada por conveniencia: reduce costos de transacción ya que los usuarios no necesitarán volver a aprobar para cada interacción. Sin embargo, plataformas legítimas como Uniswap ahora establecen límites de aprobación por defecto. Si una dApp insiste en aprobación ilimitada o no te permite establecer un monto personalizado, esa es una señal de alerta indicando que puede no ser confiable.

Empezar Aquí

Verificación de seguridad

Inteligencia

Herramientas e informes

Servicios premium

Extensión y API