Bitget App
Trading Inteligente
Comprar criptoMercadosTradingFuturosBotsEarnCopy
Seguridad
Alerta de seguridad en la Web3: Escenarios comunes de robo de activos

Alerta de seguridad en la Web3: Escenarios comunes de robo de activos

Principiante
2025-06-03 | 5m

Resumen

● Situaciones comunes que pueden provocar la pérdida de activos

● Medidas de protección de Bitget para proteger los fondos de los usuarios

Web3 abre la puerta a la libertad financiera y a innovaciones revolucionarias, pero también incorpora nuevos riesgos de seguridad. En este artículo desglosamos las formas más comunes en que los usuarios son víctimas del robo de activos, desde filtraciones de claves privadas y aprobaciones de firmas maliciosas hasta fraudes en transferencias y otros ataques. Aquí compartimos estudios de casos reales y proporcionamos un resumen de las medidas de protección de Bitget con el objetivo de equipar a los usuarios con los conocimientos que necesitan para proteger mejor sus activos digitales en el ecosistema blockchain.

Filtraciones de frase semilla o claves privadas

Robos mediante billeteras falsas

Los atacantes suelen hacerse pasar por miembros oficiales de equipos o administradores en plataformas como Telegram o Discord. Envían correos electrónicos de phishing o comparten links de descarga de billeteras falsas, a menudo con el disfraz de "actualizaciones de seguridad" de nombres de confianza como MetaMask o Trust Wallet. Algunos incluso publican anuncios en los motores de búsqueda para dirigir a los usuarios a sitios de phishing. Una vez que las víctimas instalan estas apps falsas e ingresan sus frases semilla o claves privadas, la información se envía inmediatamente a servidores controlados por los atacantes.

Robos ejecutados por malware mediante el portapapeles

Estas apps maliciosas suelen aparecer como herramientas inofensivas, como escáneres de códigos QR, gestores de archivos, juegos crackeados, rastreadores de precios de cripto o comprobadores de airdrops. Una vez instaladas, las apps solicitan acceso al portapapeles y monitorean continuamente su contenido. Si los usuarios copian datos confidenciales como frases semilla o claves privadas (normalmente durante una copia de seguridad o transferencia), estas aplicaciones capturan instantáneamente la información y la envían a los servidores de los atacantes.

Fraudes de firma o autorización

Estafas eth_sign

eth_sign es un método básico de firma de Ethereum que permite a los usuarios firmar datos arbitrarios. El problema es que los usuarios solo ven una cadena ilegible de código hexadecimal, por lo que a menudo no tienen ni idea de lo que están firmando en realidad. Los atacantes se aprovechan de ello engañando a los usuarios para que firmen aprobaciones maliciosas y, a veces, incluso concedan pleno acceso a sus activos.

Phishing de firma Permit2

Permit2, un protocolo de aprobación de tokens desarrollado por Uniswap Labs, es seguro por diseño, pero se ha utilizado en ataques de phishing. Los atacantes engañan a los usuarios para que firmen autorizaciones Permit2 bajo el pretexto de verificación de billeteras o reclamos de airdrops. Una vez firmada la autorización, el atacante puede mover los tokens del usuario sin necesidad de más permisos.

Estafas de autorización de tokens

Algunos sitios web maliciosos convencen a los usuarios para que concedan autorización ilimitada a tokens valiosos a un smart contract, lo que permite al sitio manipular sus holdings. Estos sitios suelen hacerse pasar por plataformas DeFi o NFT legítimas, y exigen la autorización del usuario para participar. Los atacantes crean urgencia mediante falsas ofertas o promociones por tiempo limitado para bajar las defensas de los usuarios. Una vez autorizados, pueden retirar los tokens de la víctima sin más confirmación.

Estafas de autorización de NFT

Algunos sitios maliciosos piden a los usuarios que concedan permisos setApprovalForAll en sus NFT. Si se aprueba, el atacante obtiene el control total de la colección de NFT del usuario y puede transferir activos en cualquier momento sin necesidad de realizar ninguna otra acción.

Fraudes en transferencias

Secuestro de dirección de la billetera en apps de mensajería

Algunos atacantes distribuyen versiones manipuladas de apps de mensajería como Telegram a través de fuentes no oficiales. Estas apps modificadas contienen código malicioso que monitorea los chats y sustituye las direcciones de billetera cripto compartidas. Cuando los usuarios copian la dirección de la billetera de un chat para enviar fondos, pueden enviarlos sin saberlo a la billetera del atacante. En 2023, más de 500 usuarios perdieron alrededor de $8 millones de dólares en cripto al transferir fondos sin saberlo a través de una versión manipulada de Telegram.

Phishing de transferencia vacía

Los atacantes aprovechan un comportamiento en la función transferFrom en USDT que permite realizar transferencias de valor cero sin requerir la aprobación del remitente. Esto les permite iniciar operaciones TransferFrom en cuentas de usuario activas e inundar su historial de transacciones. Como algunos usuarios suelen copiar las direcciones de las billeteras de su propio historial de transacciones, pueden reutilizar accidentalmente la dirección de un atacante y enviar fondos al destinatario equivocado. Según SlowMist, solo en el primer semestre de 2022 se robaron más de $20 millones de dólares con este método.

Medidas de seguridad de Bitget

La mayoría de los activos se almacenan en billeteras frías

En Bitget, la mayor parte de los activos digitales se almacenan en billeteras frías multifirma offline. Este planteamiento prudente que mantiene las billeteras desconectadas de internet reduce significativamente el riesgo de ciberataques.

Fondo de Protección

Bitget mantiene un Fondo de Protección de $700 millones de dólares. Si tu cuenta de Bitget se ve comprometida, o si roban o pierden tus activos (sin incluir las pérdidas debidas a acciones o transacciones personales), puedes presentar un reclamo a través del Fondo de Protección de Bitget.

Canal de verificación oficial

Para ayudar a los usuarios a evitar el phishing y las estafas, Bitget ofrece un canal de verificación oficial. Puedes utilizarlo para confirmar si un correo electrónico, una página web o una cuenta de redes sociales es realmente de Bitget.

Educación en seguridad

Bitget comparte periódicamente contenidos educativos para concientizar y ayudar a los usuarios a reforzar sus conocimientos y prácticas de seguridad.

Buenas prácticas para los usuarios

Protege tus frases semilla y claves privadas

● Nunca cargues tu frase semilla o clave privada sin cifrar en la nube.

● Evita copiar tu frase semilla o clave privada completa en el portapapeles, ya que cualquier malware podría capturarla.

● Solo descarga apps de billetera de fuentes oficiales y comprueba siempre el desarrollador y la firma del software.

Gestión de firmas y autorizaciones

● Nunca firmes nada que no entiendas completamente y siempre revisa el contenido cuidadosamente antes de firmar.

● Establece un límite mínimo de autorización necesario para proyectos desconocidos en lugar de conceder acceso ilimitado.

● Utiliza herramientas de gestión de autorizaciones (por ejemplo, Revoke.cash) para comprobar y revocar periódicamente las autorizaciones innecesarias.

Prácticas seguras de transferencia

● Antes de hacer transferencias grandes o importantes, prueba siempre con un monto pequeño.

● Guarda en la agenda las direcciones de billetera que utilices con frecuencia.

Conclusiones

Proteger los activos digitales requiere esfuerzos conjuntos. Mientras exchanges como Bitget construyen marcos de seguridad integrales, los usuarios también deben mantenerse informados y alertas. Las finanzas tradicionales demoraron siglos en desarrollar prácticas seguras. Del mismo modo, Web3 sigue evolucionando. Cada incidente de seguridad ofrece valiosas lecciones. Bitget mantiene su compromiso de invertir en la seguridad de la plataforma y ampliar los contenidos educativos a fin de ayudar a los usuarios a reforzar sus defensas. Creemos que la plataforma y los usuarios deben trabajar juntos para crear un ecosistema Web3 verdaderamente seguro y digno de confianza, en el que la innovación de la blockchain pueda florecer al mismo tiempo que se minimizan los riesgos.

Artículos relacionados:

Alerta de seguridad en la Web3: Suplantación de identidad vía SMS

Alerta de seguridad en la Web3: Payzero

Alerta de seguridad en la Web3: Tokens de alto riesgo

Alerta de seguridad en la Web3: Apps falsas

Alerta de seguridad en la Web3: Aprobaciones malintencionadas

Compartir
link_icon
Cómo vender PIPI llega a Bitget. ¡Compra o vende PI rápidamente en Bitget!
Haz trading ahora
¡Tenemos todas tus monedas favoritas!
Compra, holdea y vende cripto populares como BTC, ETH, SOL, DOGE, SHIB, PEPE y más. ¡Regístrate y tradea para tener la chance de recibir un paquete de regalo de 6.200 USDT para nuevos usuarios!
Haz trading ahora