Un usuario de criptomonedas no identificado perdió 999,999 dólares en USDT por un ataque de phishing en Ethereum después de firmar una solicitud de aprobación de token fraudulenta.
Los registros on-chain muestran que los atacantes dividieron los fondos robados en tres transacciones. Las transferencias llegaron a los bloques 25489460 y 25489463 de Ethereum, pocos minutos después de la firma.
El phishing de aprobación de tokens sigue siendo una de las amenazas más persistentes en las finanzas descentralizadas. Los atacantes no necesitan las claves privadas de la víctima para robar fondos. En su lugar, engañan a los usuarios para que firmen una solicitud que da a un contrato acceso amplio a un token. La aprobación permanece activa hasta que alguien la revoca.
¿Cómo ocurrió el ataque de phishing en Ethereum?
Este patrón ha afectado a usuarios varias veces en 2026. La wallet de la víctima tenía un permiso ilimitado para el token, lo que permitió al atacante actuar sin necesidad de más confirmaciones.
En mayo, un sitio falso de phishing de Uniswap vació aproximadamente 400,000 dólares de varias wallets luego de que los visitantes aprobaran un contrato malicioso. Una estafa de aprobación de airdrop falsa afectó a un usuario de HyperSwap de forma similar este mes. La estafa vació su wallet en segundos tras un solo clic.
En este caso, el atacante usó funciones Multicall para agrupar varias acciones en una sola transacción. Esta estructura permite al atacante mover los USDT aprobados en segundos. Los fondos luego se dividen en tres salidas diferentes casi de inmediato.
Esto redujo el tiempo que tenía la víctima para revocar la aprobación. Las claves privadas de la wallet no fueron tocadas durante el ataque. Como resultado, las alertas estándar de wallets rara vez identifican este tipo de exploit.
El método es similar a las tácticas detrás de las recientes estafas de envenenamiento de direcciones de wallets, donde los atacantes explotan la estructura de las transacciones en lugar de robar credenciales. Scam Sniffer también relacionó un aumento del 200% en pérdidas por phishing este año con un cambio hacia wallets de mayor valor.
Analistas de seguridad recomiendan cautela al firmar solicitudes
Tras el robo, los analistas de Scam Sniffer renovaron los llamados para que los usuarios de criptomonedas verifiquen cada solicitud de firma antes de confirmarla. La empresa recomienda revisar la dirección exacta del contrato y el alcance del permiso que muestra la wallet.
Los usuarios deben evitar aprobar solicitudes por defecto. Revocar permisos no utilizados o ilimitados con regularidad sigue siendo una de las defensas más sencillas contra este tipo de ataque.
El incidente también recuerda a una campaña de phishing de MetaMask descubierta en enero, que utilizó mensajes falsos de doble factor para evadir la sospecha de los usuarios. Los proveedores de wallets siguen añadiendo protecciones, pero los analistas señalan que ningún cambio en la interfaz reemplaza una lectura cuidadosa de lo que realmente autoriza cada firma.
La diferencia entre una firma y una wallet vaciada se vuelve cada vez menor para los usuarios de Ethereum, mientras las tácticas de phishing se automatizan más.









