Ice Phishing: El Botón de 'Iniciar Sesión' Que Vacía Tu Billetera

Resumen Ejecutivo: El 'Ice Phishing' no roba tu contraseña; roba tu permiso. Al engañarte para que firmes una Aprobación de Token maliciosa, los hackers pueden drenar tus activos a voluntad. Este artículo desglosa la función de aprobación (approve) y cómo usar Revoke.cash.

---

Prompts de Midjourney

1. /imagine prompt: A user clicking a shiny "Claim Airdrop" button, but underneath the button is a contract signing a deal with a digital devil, "Malicious Contract" --ar 16:9
2. /imagine prompt: A visual representation of "Unlimited Allowance", a pipe flowing gold coins from a wallet to a black hole, "Token Drain" --ar 16:9
3. /imagine prompt: A futuristic padlock interface showing "Revoke Permissions", turning red lights to green, "Wallet Hygiene" --ar 16:9

---

1. El Concepto: Aprobar vs. Transferir

En Ethereum/EVM, un contrato inteligente (como Uniswap) no puede tocar tus tokens a menos que le des permiso.

Hay dos formas de interactuar:

1. Transferir (Transfer): "Enviar 10 USDT a Bob". (Acción de una sola vez).
2. Aprobar (Approve): "Permitir a Uniswap gastar hasta 1,000 USDT de mi billetera". (Permiso persistente).

El Exploit: La mayoría de las dApps piden "Aprobación Ilimitada" (Infinito) por conveniencia, para que no tengas que firmar cada vez que operas. Los estafadores abusan de esto.

2. El Ataque: La "Actualización de Seguridad"

Recibes un correo electrónico o ves un enlace en Twitter: "Actualización de Seguridad de OpenSea: Verifica tu billetera para prevenir la pérdida de activos."

Haces clic en el enlace. Se ve exactamente como OpenSea.

Haces clic en "Verificar" (Verify).

Tu billetera aparece con una solicitud de transacción.

• No dice "Enviar ETH".
• Dice "SetApprovalForAll" o "Approve WETH".
• La Dirección del Gastador (Spender Address) es el contrato del hacker.

La Trampa: Crees que estás "iniciando sesión" o "verificando". En realidad, acabas de firmar un documento legal que dice: "Autorizo a este hacker a mover TODOS mis NFTs y WETH cuando quiera".

No roban tus fondos inmediatamente. Esperan hasta que deposites más, luego lo drenan todo de una vez.

3. Cómo Leer la Transacción

Antes de hacer clic en "Confirmar", mira la pestaña Datos (Data) o la simulación de la transacción.

Banderas Rojas 🚩

1. Función: SetApprovalForAll (Esto da el 100% del control de tu colección de NFT).
2. Función: Approve (con un número masivo como 1.1579e+59).
3. Gastador (Spender): Una dirección de contrato desconocida (Verifícala en Etherscan—¿está verificada? ¿Tiene un nombre como "Uniswap Router"?).

4. Remediación: Revoke.cash

Si sospechas que firmaste una mala aprobación:

1. Ve a Revoke.cash.
2. Conecta tu billetera (modo solo lectura primero).
3. Escanea en busca de "Permisos Ilimitados" (Unlimited Allowances) a contratos desconocidos.
4. Revócalos (Revoke) inmediatamente. Esto cuesta una pequeña tarifa de gas pero corta el cordón con el hacker.

Leer Más: Para una inmersión profunda en cómo cerrar estas "puertas traseras", lee nuestra guía sobre La Puerta Trasera Oculta. También ten cuidado con el Envenenamiento de Direcciones, que te engaña para enviar fondos voluntariamente.

Conclusión

Tu frase semilla es la llave de la bóveda del banco. Tus "Aprobaciones" son los firmantes autorizados. No le darías a un extraño un poder notarial sobre tu cuenta bancaria—no des a sitios web aleatorios SetApprovalForAll.