Todos los artículos
seguridad de la billeteracontratos inteligentesBEP20

Aprobaciones de token: cómo vacían las billeteras y cómo revocar los permisos

Una guía práctica para entender las aprobaciones de token (Token Approval), cómo los contratos maliciosos vacían billeteras, y cómo revisar y revocar permisos de forma segura en redes como BEP20.

Equipo Paperino5 min de lectura

¿Alguna vez conectaste tu billetera a un dApp con un solo clic llamado "Approve" y luego te olvidaste por completo? Ese instante fugaz puede quedar abierto durante años, y es una de las formas más comunes en que hoy se vacían las billeteras. En esta guía te explicamos qué es una "aprobación de token" (Token Approval), cómo la explotan los estafadores y, lo más importante: cómo revisar y revocar tus permisos tú mismo, paso a paso.

¿Qué significa una "aprobación de token" (Token Approval)?

Monedas como USDT en la red BEP20 son tokens que no se mueven por sí solos. Cuando quieres usarlos en una aplicación descentralizada —un swap, un pool de liquidez o cualquier contrato inteligente— ese contrato necesita un permiso previo para retirar el token de tu billetera. Ese permiso se llama "allowance", y lo otorgas mediante una transacción de "Approve".

El problema es que, por defecto, muchas aplicaciones piden un permiso ilimitado (Unlimited): básicamente, "permite que este contrato retire cualquier cantidad de este token, en cualquier momento, para siempre". Firmas una sola vez, pero la puerta queda abierta hasta que tú mismo la cierres.

Firmar "Approve" no mueve tu dinero en ese instante, pero le entrega al contrato una llave permanente. El riesgo no está en el monto ahora, sino en el permiso abierto que queda para después.

¿Cómo vacían los contratos maliciosos las billeteras?

Los contratos de drenaje (Approval Drainers) no "hackean" tu billetera: te engañan para que firmes el permiso tú mismo. El escenario habitual:

  1. Llegas a un sitio falso que imita una plataforma conocida, o un mensaje te atrae con una "recompensa" o un "airdrop".
  2. El sitio pide conectar tu billetera y luego muestra una ventana de firma que parece rutinaria.
  3. Esa firma en realidad otorga un permiso ilimitado sobre un token que posees (como USDT o el token nativo de la red).
  4. No pasa nada visible, así que crees que falló y te vas.
  5. Horas o días después, el atacante ejecuta la función transferFrom y retira tu saldo de una sola vez o de forma gradual.

El engaño más peligroso son las firmas Permit y Permit2: una firma "fuera de la cadena" (off-chain) que no cuesta comisión de gas ni aparece como transacción, pero otorga permiso total. Por eso la solicitud puede parecer completamente inofensiva.

Ninguna plataforma seria te pedirá "firmar por una recompensa" ni reactivar una cuenta otorgando permiso sobre tus tokens. Cualquier solicitud de firma a cambio de dinero gratis es una señal de alerta casi segura.

Señales de alerta antes de firmar

  • El sitio llegó a ti por mensaje privado, un anuncio pagado, o una cuenta de "soporte" que te escribió primero.
  • La ventana de la billetera muestra Approve o Permit para un token que no piensas intercambiar ahora.
  • El permiso solicitado es ilimitado, mientras que tú solo necesitas una cantidad pequeña.
  • El contrato beneficiario es una dirección extraña, no verificada, que no aparece como contrato conocido en un explorador de blockchain.
  • Urgencia y presión de tiempo: "La oferta termina en minutos".

¿Cómo revisas y revocas tus permisos?

La buena noticia es que los permisos se pueden revocar en cualquier momento, y revocarlos es sencillo. La idea es que envías una transacción que restablece el límite permitido a cero.

Pasos prácticos

  1. Abre una herramienta confiable de revisión de permisos (Revoke Tool) desde tu navegador, y asegúrate de escribir la dirección tú mismo, no desde un enlace de un mensaje.
  2. Conecta tu billetera, o mejor aún: pega solo tu dirección pública para verla sin conectar, y luego ejecuta la revocación una vez que confirmes todo.
  3. Elige la red correcta (por ejemplo, BNB Smart Chain para tokens BEP20).
  4. Revisa la lista de permisos: cada fila muestra un token, un contrato beneficiario y un límite permitido.
  5. Busca los permisos ilimitados o contratos que no reconozcas, y pulsa "Revoke".
  6. Firma la transacción de revocación, paga la pequeña comisión de gas y espera la confirmación.

Cada revocación en la cadena cuesta una pequeña comisión de gas. Prioriza: revoca primero los permisos ilimitados sobre los tokens de mayor valor (USDT, tokens de la red).

Formas de revisar tus permisos

MétodoCómo funcionaNota
Herramienta de revocación especializadaMuestra todos tus permisos y los revoca con un clicLa más rápida; verifica con cuidado la dirección del sitio
Explorador de blockchainPestaña "Token Approvals" en el explorador de la redConfiable y directo desde los datos on-chain
La propia billeteraAlgunas billeteras incluyen una sección de permisos integradaPráctico si tu billetera lo ofrece

Hábitos que te protegen en el futuro

  • Define el monto exacto: en cualquier "Approve", elige un permiso del tamaño que realmente necesitas, no "ilimitado", si la aplicación lo permite.
  • Revisa periódicamente: chequea tus permisos cada pocas semanas, y después de interactuar con cualquier sitio nuevo.
  • Separa tus billeteras: una billetera "de prueba" pequeña para interactuar con sitios nuevos, y una billetera "bóveda" que nunca conectas a ningún dApp.
  • Lee la ventana de firma: entiende el nombre de la función y el contrato beneficiario antes de hacer clic; si no lo entiendes, no firmes.
  • Desconfía de las firmas sin gas: una firma Permit puede no costar comisión, pero igual otorga permiso total.

Este contenido es educativo, pensado para aumentar tu conciencia de seguridad, y no constituye asesoría financiera, legal ni religiosa. Las herramientas de revocación y los nombres de las redes cambian con el tiempo, así que verifica siempre las fuentes oficiales por tu cuenta antes de conectar tu billetera o firmar algo. La responsabilidad de proteger tus claves y permisos es solo tuya.

Conclusión

La aprobación de token es una herramienta necesaria para las aplicaciones descentralizadas, pero también es la puerta trasera más explotada. La regla es simple: otorga solo lo que necesitas, y revoca lo que ya no uses. Convierte la revisión de permisos en un hábito periódico, como organizar tu billetera, y cerrarás la puerta más ancha que usan los estafadores antes de que siquiera la toquen. En Paperino creemos que la seguridad empieza con la conciencia: una sola revocación hoy puede proteger todo tu saldo mañana.

¿Listo para cruzar?

Regístrate, consigue tu primer pato y empieza a ganar USDT.

Empezar

Artículos relacionados

La suerte sonríe a los valientes. Cruza sin miedo: las recompensas son reales.