ÚLTIMAS NOTICIAS

vivir Irán cancela las conversaciones de paz con Trump por los ataques israelíes contra el Líbano, lo que provoca una caída en los mercados

Actualizaciones en vivo del 19 de junio de 2026
Polymarket se enfrenta a una investigación del WSJ mientras los mercados de predicción alcanzan un récord de interés abierto de 1.480 millones de dólares

Noticias de hace 1 hora
WhiteBit obtiene la certificación MiCAR de la autoridad financiera de Austria

Noticias de hace 2 horas
Un fondo de pensiones japonés destinará el 1% de sus activos a las criptomonedas

Hace 3 horas Noticias

SELECCIONADO PARA TI

SEMANALMENTE

MANTÉNGASE EN LA CIMA

Los mejores análisis sobre criptomonedas directamente en tu bandeja de entrada.

El mejor hilo de Twitter del día – 19 de agosto

Por

Ibiam Wayas

Lectura de 1 minuto. 19 de agosto de 2022.

¿Sabías que una simple firma en Metamask puede vaciar tu billetera?

¿Sabías que una simple firma en Metamask puede vaciar tu billetera?

Un usuario muy experimentado (entre los 10 primeros por su puntuación Degen) perdió casi 500.000 USDC en una vulnerabilidad hoy.

Tú podrías ser el próximo…

Aquí tienes un breve hilo donde explicamos cómo ocurrió y cómo puedes evitar este tipo de vulnerabilidades en el futuro.
— korpi (@korpi87) 19 de agosto de 2022

Era una tarde tranquila cuando Joe (nombre ficticio) notó que le habían robado 469.000 USDC de su billetera.

No se trataba de una simple transferencia, lo que significaba que, aparentemente, el atacante no tenía acceso a la billetera de Joe.

Era un contrato maliciosotracle había vaciado todos los USDC de su cuenta… pic.twitter.com/pTgTjfMMeu
— korpi (@korpi87) 19 de agosto de 2022

Aquí necesitamos hacer una pausa en la historia para explicar algunos aspectos técnicos.

El token USDC es untracen Ethereum. Tiene muchas funciones que deficómo interactuamos con USDC y qué se puede hacer con él.

Centrémonos en dos funciones:
> transferir
> transferirDesde pic.twitter.com/gekVmjmwvW
— korpi (@korpi87) 19 de agosto de 2022

> Transferencia

Cuando mueves USDC (u otros ERC20) entre billeteras, usas la función de transferencia.

Esta mueve tokens desde la dirección que llama a la función a otra dirección.

Para usar la función de transferencia de forma maliciosa en tu nombre, alguien tendría que obtener el control de tu billetera. pic.twitter.com/3Z3pYbBnRq
— korpi (@korpi87) 19 de agosto de 2022

> transferFrom

Cuando interactúas con lostrac, estos utilizan transferFrom para transferir tus tokens. Pueden tomar hasta el límite permitido que hayas establecido en la función de aprobación.

Si permites que un contratotracuna cantidad ilimitada de USDC, puede tomarlo todo.https://t.co/QdUgLuZfZH
— korpi (@korpi87) 19 de agosto de 2022

Volviendo a la historia de Joe…

Latracinteracción contractual mencionada anteriormente que agotó los USDC de Joe fue, de hecho, una función transferFrom.

transferFrom solo funcionaría si Joe hubiera aprobado el contratotracgastar sus USDC.

Y Joe estaba 100% convencido de que no había aprobado nada… pic.twitter.com/HH9xxYeQms
— korpi (@korpi87) 19 de agosto de 2022

Un momento…

El historial de DeBank muestra claramente una aprobación infinita de USDC para el contrato maliciosotracminutos antes del ataque…

¿Joe realmente lo aprobó?

Sí. Pero también no. No directamente. pic.twitter.com/AqQQs7GZAV
— korpi (@korpi87) 19 de agosto de 2022

Etherscan revela que la aprobación infinita no fue una función de aprobación llamada por el propio Joe.

Fue una función de permiso llamada por otra dirección y otorgó al contrato maliciosotracaprobación para gastar todos los USDC de Joe.

¿Qué demonios? ¿Cómo pueden otros aprobar contratostractu nombre? pic.twitter.com/TS3iDbhOXu
— korpi (@korpi87) 19 de agosto de 2022

La función de permiso se introdujo para mejorar la experiencia del usuario en Ethereum.

Permite modificar los montos aprobados sin enviar una transacción. Basta con una firma.

Con tu firma, cualquiera puede activar la función de permiso y actualizar la asignación para un usuario. pic.twitter.com/hem0lPsnW1
— korpi (@korpi87) 19 de agosto de 2022

Puedes ver el permiso en acción cuando usas la dApp de 1inch.

Si quieres vender USDC, no necesitas aprobarlo primero.
Solo necesitas firmar un mensaje.

Esta firma le otorga a 1inch permiso para gastar todos tus USDC. 1inch no lo hará, pero un contrato maliciosotracpodría. pic.twitter.com/Dd7ggJFWtl
— korpi (@korpi87) 19 de agosto de 2022

Joe debió haberdentun mensaje así en un sitio web malicioso.

Desafortunadamente, esta vez usó una billetera caliente y la firma fue solo un clic aparentemente inocente.

Con una billetera de hardware, habría un momento de duda al firmar un mensaje en el dispositivo externo.
— korpi (@korpi87) 19 de agosto de 2022

Con la firma de Joe, un actor malicioso envió una transacción con la función de permiso.

maliciosotracpermiso para gastar todos los USDC de la billetera de Joe.

Luego se llamó a la función transferFrom y el contrato maliciosotraclos fondos. pic.twitter.com/1U6lWr9pmw
— korpi (@korpi87) 19 de agosto de 2022

Al parecer, las firmas pueden ser catastróficas.

En algunos casos, Metamask te advertirá de que firmar un mensaje puede ser peligroso.

Pero no en el caso de las aprobaciones firmadas, que técnicamente funcionan según lo previsto, pero pueden causar graves daños si se usan incorrectamente.https://t.co/5H9rNWVR3b
— korpi (@korpi87) 19 de agosto de 2022

¿Cómo evitar exploits similares en el futuro?

– No firmes todo en Metamask.
– Dedica tiempo a comprender lo que firmas.
– Ten cuidado con las aprobaciones tradicionales (consulta el hilo enlazado)https://t.co/549NmPly5s
— korpi (@korpi87) 19 de agosto de 2022

Espero que este hilo te haya sido útil.

Sígueme en @korpi87 y visita mi Notion: https://t.co/ZTqYKmhCNk para más información.

Dale a "Me gusta" o retuitea el primer tuit a continuación para proteger a otros de ataques similares: https://t.co/9pqCSXi9JH
— korpi (@korpi87) 19 de agosto de 2022

¿La fusión Ethereum conducirá a una captura regulatoria?

LosEthereumse deben a la constante priorización de la tokenómica sobre la descentralización, la seguridad y la resiliencia. Parece que la fusión y la prueba de participación (PoS) conducirán a una completa captura regulatoria por parte de los exchanges centralizados y las plataformas de staking, y no hay escapatoria para ellos. 🧵👇 pic.twitter.com/Ur9tf42K5p
— Samson Mow (@Excellion) 19 de agosto de 2022

¿Cómo llegaron hasta aquí? Decidieron establecer un requisito de 32 ETH para el staking como parte del protocolo (para bloquear el suministro y maximizar la tokenómica). Esto prácticamente centralizó al máximo el POS, y además, no tienen la "Bitcoin si no tienes las claves, no tienes las monedas". pic.twitter.com/Ml4QV93ECP
— Samson Mow (@Excellion) 19 de agosto de 2022

Así que ahora tienes un 66% de validadores que deben cumplir con las regulaciones de la OFAC. Y el ETH que han depositado para hacer staking no se puede retirar porque la función de retiro no se programó, debido a la tokenómica. 📈 pic.twitter.com/BdjFqYk70J
— Samson Mow (@Excellion) 19 de agosto de 2022

¡Pero esperen! Los ethereanos pueden simplemente #UASF como esos Bitcoin Maxi, ¿verdad? ¡Como para mostrarle a Coinbase quién manda! pic.twitter.com/LBSRDOF79o
— Samson Mow (@Excellion) 19 de agosto de 2022

No. Primero, los etherianos no administran sus propios nodos y segundo, la mayoría de los servicios dependen de Infura, pero ese no es el problema principal. pic.twitter.com/8rI1FsDwuU
— Samson Mow (@Excellion) 19 de agosto de 2022

Comenzaré la siguiente parte diciendo que arrestar a los desarrolladores por escribir código es horrible y sienta undentterrible. Dicho esto…
— Samson Mow (@Excellion) 19 de agosto de 2022

Para #UASF necesitas software. Ahora todas Ethereum tienen nombres de ciudades geniales como Estambul, Londres, Berlín, etc. Llamemos a esta hipotética Ethereum UASF "Pyongyang". Pyongyang impediría que Coinbase y la mayoría del 66% censuraran las transacciones sancionadas por la OFAC.
— Samson Mow (@Excellion) 19 de agosto de 2022

Otra forma de decir “prevenir la censura de transacciones sancionadas por la OFAC” podría ser “ayudar a evadir sanciones”. Quizás nos olvidamos de Virgil. En fin, ¿quién va a programar Pyongyang? El tipo de Tornado Cash fue arrestado, así que probablemente los desarrolladores de Pyongyang también serán arrestados. pic.twitter.com/HQNtkyTQkg
— Samson Mow (@Excellion) 19 de agosto de 2022

¿Quién gobernará Pyongyang? ¿Los que señalan con "X 🏴"? ¿Vincularán también su nodo de Pyongyang a su cuenta .eth? Coinbase, Kraken, Bitcoin Suisse y los demás, que conforman el 66%, defino gobernarán Pyongyang.
— Samson Mow (@Excellion) 19 de agosto de 2022

Bueno, entonces un Ethereum #UASF queda descartado.

“¡Pero podemos recortar Coinbase y otros si se atreven a cumplir!” pic.twitter.com/rmlgn8Cb2Y
— Samson Mow (@Excellion) 19 de agosto de 2022

Puede que sea un Bitcoin Maxi™ patético, pero dediqué 10 minutos a investigar y descubrí que no hay ningún mecanismo para recortar Coinbase. No hay código para detectar y sancionar a nadie por censurar transacciones. El mecanismo de recorte solo funciona para castigar el tiempo de inactividad o la doble firma.
— Samson Mow (@Excellion) 19 de agosto de 2022

Así que volvemos a necesitar la bifurcación de Pyongyang, que nadie programará ni ejecutará. Incluso si Pyongyang existiera, no habría forma de que los usuarios retiraran ETH. E incluso si pudieran retirarlo, no importaría porque solo importa Infura. pic.twitter.com/RQ44BWUqzE
— Samson Mow (@Excellion) 19 de agosto de 2022

Suponiendo que todo se alineara mágicamente y hubiera una manera para que los usuarios Ethereum recortaran a Coinbase, etc., ¿qué significa eso? Significa que los accionistas minoritarios tendrían un mecanismo para castigar arbitrariamente a la mayoría. Eso no va a funcionar a largo plazo.
— Samson Mow (@Excellion) 19 de agosto de 2022

Y por eso llamamos unaEthereum #monedabasura .Es un ejercicio inútil, plagado de decisiones de diseño atroces y creado con el único propósito de inflar el precio del token. pic.twitter.com/irYDrzJcOO
— Samson Mow (@Excellion) 19 de agosto de 2022

Si estás leyendo esto, ya llevas ventaja. Mantente al día con nuestro boletín informativo.

Comparte este artículo

Ibiam Wayas

Ibiam Wayas cubre noticias sobre criptomonedas desde 2019. Estudió Informática en la Universidad Nacional Abierta de Nigeria. Sus artículos han aparecido en diversas plataformas de noticias sobre criptomonedas, como Coinfomania, Crypto News Australia y AltcoinBuzz. Gracias a su formación en Informática, ahora se centra en noticias sobre criptomonedas, robótica y longevidad.

ÍNDICE

1. ¿Sabías que una simple firma en Metamask puede vaciar tu billetera?

2. ¿La fusión Ethereum conducirá a una captura regulatoria?

Comparte este artículo

MÁS… NOTICIAS

MOSTRAR TODO

5 ingeniosas aplicaciones de ChatGPT y qué debes hacer al respecto

Hace 3 años, el técnico John Palmer

El 93% de los líderes empresariales prefieren soluciones basadas en IA para la gestión de la sostenibilidad de la marca, según Reuters

Hace 3 años, el técnico John Palmer

El ecosistema de inteligencia artificial de Francia

Así apoya Macron el vibrante y productivo ecosistema de IA de Francia

Hace 3 años Tech Glory Kaburu

Bloomberg estima que el mercado de IA generativa alcanzará los 1,3 billones de dólares en 2032

Hace 3 años, Tech Aamir Sheikh

¿Qué es Base? La red de capa 2 Ethereum lanzada por Coinbase

21 de octubre de 2025 Aprende sobre criptomonedas: Guías para principiantes
Dogecoin vs. Bitcoin: Diferencias técnicas clave

20 de octubre de 2025 Aprende sobre criptomonedas: Guías para principiantes
¿Qué es TVL (valor total bloqueado) en criptomonedas?

14 de octubre de 2025 Aprende sobre criptomonedas: Guías para principiantes
¿Cómo leer un documento técnico sobre criptomonedas?

13 de octubre de 2025 Aprende sobre criptomonedas: Guías para principiantes
Ripple vs. XRP vs. XRP Ledger: ¿Cuál es la diferencia?

13 de octubre de 2025 Aprende sobre criptomonedas: Guías para principiantes
¿Qué es una billetera multifirma en criptomonedas?

10 de octubre de 2025 Aprende sobre criptomonedas: Guías para principiantes

CURSO INTENSIVO DE CRIPTOMONEDAS PROFUNDAS

¿Qué criptomonedas pueden hacerte ganar dinero?
Cómo mejorar tu seguridad con una billetera (y cuáles realmente vale la pena usar)
Estrategias de inversión poco conocidas que utilizan los profesionales
Cómo empezar a invertir en criptomonedas (qué plataformas de intercambio usar, las mejores criptomonedas para comprar, etc.)