Un trader de criptomonedas perdió aproximadamente 1 millón de dólares tras ser víctima de un ataque de phishing que explotó la función Permit2 de Uniswap, según informes recientes. El atacante engañó a la víctima para que firmara un mensaje malicioso que otorgaba acceso completo a la cartera, sin que hubiera vulnerabilidad en el protocolo ni brecha técnica involucrada. El incidente ocurrió como parte de una epidemia de phishing que generó en total 14 mil millones de dólares en pérdidas por estafas en la cadena en 2025, frente a 12 mil millones en 2024, según el Informe de Crimen Cripto 2026 de Chainalysis. El ataque tuvo éxito porque el trader firmó una autorización fuera de la cadena que creía legítima, demostrando cómo la función de conveniencia de Permit2 puede convertirse en un vector de ataque cuando los usuarios interactúan con interfaces engañosas.
La pérdida de 1 millón de dólares resultó de un ataque de phishing que explotó el contrato Permit2 de Uniswap, un sistema de aprobación de tokens diseñado para agilizar las interacciones en DeFi. Permit2 permite que una sola firma fuera de la cadena apruebe múltiples interacciones con tokens a la vez, eliminando la necesidad de transacciones en la cadena separadas para cada interacción con el protocolo. Otra víctima perdió aproximadamente 196 mil dólares en un ataque similar que involucró el token $VIRTUAL . En ambos casos, no hubo brecha técnica en el protocolo de Uniswap: los ataques se lograron mediante engaños a los usuarios en lugar de vulnerabilidades en los contratos inteligentes. Sitios de phishing suplantaron interfaces legítimas de DeFi, incluyendo páginas de reclamación de airdrops y pantallas de intercambio, para presentar solicitudes de firma de Permit2 convincentes en momentos oportunos. Una vez firmados, los contratos maliciosos obtuvieron acceso inmediato a toda la cartera de las víctimas sin necesidad de confirmaciones adicionales.
Las estafas en la cadena generaron al menos 14 mil millones de dólares en pérdidas en 2025, frente a 12 mil millones en 2024, según el Informe de Crimen Cripto 2026 de Chainalysis. Solo en enero de 2026, el phishing y la ingeniería social representaron 370 millones de dólares en pérdidas totales de criptoactivos, con un incidente que aportó 284 millones de esa cantidad, según datos de CertiK. Desde 2021, el phishing de aprobaciones ha sido responsable de más de mil millones de dólares en pérdidas reportadas. Las pérdidas relacionadas con drenajes de carteras disminuyeron un 83 % en 2025, hasta aproximadamente 84 millones de dólares, indicando que las operaciones dirigidas a desmantelar infraestructura han reducido ese vector de ataque específico. Sin embargo, el phishing de aprobaciones opera en infraestructura diferente que explota mecánicas legítimas del protocolo en lugar de contratos maliciosos desplegables. La operación Atlantic, realizada en abril de 2026, resultó en el congelamiento de aproximadamente 12 millones de dólares vinculados a esquemas de phishing de aprobaciones.
Revoke.cash permite a los usuarios auditar y cancelar aprobaciones de tokens pendientes, incluyendo permisos de Permit2. Realizar una verificación de revocación tras interactuar con un protocolo nuevo o desconocido limita la ventana de daño si se otorga una aprobación maliciosa. Verificar las direcciones de los contratos antes de firmar cualquier solicitud de aprobación es fundamental, ya que los sitios de phishing están diseñados para ser visualmente indistinguibles de plataformas legítimas. Las carteras hardware añaden una capa de confirmación física, pero no protegen contra la firma de un mensaje malicioso en un sitio comprometido: si un usuario conecta una cartera hardware a un sitio malicioso y confirma manualmente una solicitud de firma de Permit2, el dispositivo físico pasa a ser parte del ataque en lugar de una defensa. Las prácticas defensivas incluyen verificar las direcciones de los contratos en cada solicitud de firma contra direcciones legítimas conocidas, realizar auditorías periódicas con Revoke.cash u otras herramientas similares, y tratar con escepticismo las solicitudes de firma de Permit2 no esperadas hasta que sean verificadas.
¿Qué es Permit2 de Uniswap y por qué genera riesgo de phishing?
Permit2 permite a los usuarios firmar un solo mensaje fuera de la cadena para aprobar múltiples interacciones con tokens simultáneamente. Una firma maliciosa puede otorgar a un atacante acceso amplio e inmediato a toda la cartera de un usuario sin pasos adicionales de confirmación.
¿Cómo explotaron los atacantes Permit2 en el incidente de pérdida de 1 millón de dólares?
Los atacantes crearon sitios que suplantaban plataformas legítimas de DeFi y solicitaron a los usuarios firmar mensajes de Permit2. Debido a que Permit2 no genera advertencias ni pantallas de confirmación en la cadena, las víctimas no tenían indicios de que estaban autorizando un contrato malicioso, lo que resultó en transferencias inmediatas y no autorizadas de fondos.
¿Qué impacto financiero ha causado el phishing de aprobaciones en la industria cripto?
El phishing de aprobaciones ha causado más de mil millones de dólares en pérdidas reportadas desde 2021. Contribuyó a los 14 mil millones de dólares en pérdidas totales en la cadena registradas por Chainalysis en 2025, y los datos de CertiK muestran que solo en enero de 2026, el phishing y la ingeniería social provocaron pérdidas por 370 millones de dólares.
Noticias relacionadas
La industria de las criptomonedas preparándose para la amenaza de la computación cuántica a la encriptación de la blockchain
DAXA advierte sobre sitios de phishing que suplantan a exchanges de criptomonedas coreanos
Trader de Ethereum pierde $2M en exploit de backrun de un solo bloque en Uniswap
2 millones de dólares en intercambio de Ether terminan en $14K después de un error de enrutamiento por baja liquidez