Drenadores Web3: cómo funcionan y por qué su firma es la clave principal del robo

Cada día en Web3 ocurren miles de robos, y la mayoría de las víctimas ni siquiera entienden cómo sucedió. El drainer no es un fenómeno nuevo, pero se vuelve cada vez más sofisticado. Es un contrato inteligente malicioso que obtiene acceso a tus fondos no mediante phishing ni robo de clave privada, sino a través de una simple firma que das pensando que apruebas una transacción inofensiva.

Muchos creen que si no ingresan su frase seed, están seguros. Es un error. El drainer funciona de manera completamente diferente: parece legítimo y se oculta tras acciones habituales en la cartera.

¿Qué es un drainer y cómo roba tus fondos?

Un drainer es un contrato inteligente que se disfraza de una operación normal. Cuando haces clic en “Firmar” o “Aprobar”, le das permiso para actuar en tu nombre. El problema es que muchas veces no ves en detalle qué estás firmando en la transacción.

Un solo clic significa acceso completo. Y esto no se puede cancelar simplemente con “revocar” — el drainer puede seguir operando si aún tienes ETH para pagar las comisiones.

Métodos engañosos: cuatro formas en que los drainers vacían tu cartera

Los ataques ocurren en diferentes escenarios. El primero es “aprobación sin límites”, cuando te ofrecen acceso ilimitado a tus tokens supuestamente para un intercambio. El drainer obtiene plenos derechos y puede tomar todo lo que quiera.

El segundo método es “transferencia oculta”. Parece que participas en farming o swaps, pero en realidad estás firmando permisos para retirar fondos sin confirmar cada operación explícitamente.

El tercero es disfrazarse de “creación de NFT”. El drainer simula el proceso de minteo, pero en realidad vacía tu saldo.

El cuarto método es una “verificación falsa de cartera”. Te piden firmar un mensaje para verificar, pero en realidad es una llamada oculta que da acceso a tus activos.

Cómo no ser víctima: reglas prácticas de seguridad

Nunca firmes una transacción si no entiendes completamente qué contiene. Revisa los detalles de cada operación, especialmente los valores de “spender” y “amount” en la línea de aprobación.

No confíes en sitios web y enlaces que no estén en el Twitter oficial del proyecto, su Discord o whitepaper. Los drainers suelen distribuirse a través de cuentas sociales falsificadas y canales Discord falsos.

Siempre verifica que realmente estás realizando una operación de intercambio o envío, y no otorgando acceso ilimitado. La etapa de “Verificar transacción” no es una formalidad, sino tu protección.

No guardes todo en una sola cartera. Usa una cartera separada solo para farming y experimentos con nuevos protocolos. Así, incluso si un drainer compromete esas, tus fondos principales permanecerán seguros.

Herramientas de protección: desde Revoke.cash hasta carteras hardware

Revoke.cash es un servicio gratuito que permite revocar permisos antiguos y detener inmediatamente la actividad del drainer. Revisa si tienes permisos activos para gastar tokens que otorgaste hace tiempo.

Wallet Guard y otras extensiones de navegador ofrecen protección en tiempo real, alertando sobre contratos sospechosos antes de que los firmes.

Las carteras hardware (Ledger, Trezor) requieren confirmación física en el dispositivo para cada operación, haciendo imposible que un drainer vacíe tu cartera automáticamente sin tu conocimiento.

Tu firma en Web3 no es solo un clic. Es la llave que abre el acceso a tus criptomonedas y NFTs. Cada vez que das permiso para una operación, estás dando poder a alguien sobre tus fondos. Ten cuidado. Verifica. Y recuerda: un clic equivocado puede costarte todo.