Estafas de firmas offline y protocolo Permit2 en criptomonedas

Firmas «Offline» y Permisos Permit2: La nueva frontera de los robos en DeFi

En el mundo cripto, estamos acostumbrados a que cualquier movimiento importante requiera pagar una comisión (gas) y confirmar en nuestra hardware wallet. Por eso, cuando una web nos pide una «firma de mensaje» que no cuesta nada, bajamos la guardia. Ese es exactamente el error que los atacantes están esperando.

Las nuevas estafas utilizan protocolos avanzados como Permit2 (popularizado por Uniswap) para obtener tu autorización de forma «offline». No estás enviando una transacción a la blockchain en ese momento, sino que estás firmando un vale que permite al estafador retirar tus fondos más tarde.

¿Qué es Permit2 y por qué es un riesgo si se usa mal?

Permit2 es una tecnología diseñada para mejorar la experiencia de usuario, permitiendo que apruebes el uso de tus tokens sin hacer múltiples transacciones. Sin embargo, los criminales han creado «Fake Permits».

  • La Firma Invisible: Al hacer clic en un botón de «Login» o «Verify» en una web falsa, tu wallet te pide una firma de texto (EIP-712). Parece inofensivo porque el saldo de tu cuenta no cambia inmediatamente.
  • El Poder de la Firma: Ese mensaje firmado contiene los datos necesarios para que el atacante, desde su propia billetera y pagando él el gas, ejecute la transferencia de tus activos.
  • El Robo Retardado: A veces el robo no ocurre al instante. El atacante guarda tu firma y espera a que tengas un saldo mayor para vaciarte la cuenta por completo.

Cómo identificar una firma Permit2 maliciosa

A diferencia de las aprobaciones estándar, estas firmas suelen aparecer en una ventana de Metamask o Rabby con un formato de «datos estructurados». Debes encender todas tus alarmas si ves lo siguiente en un mensaje sin gas:

  1. Spender: Si el nombre del contrato que solicita el permiso es una dirección de billetera desconocida o no coincide con el protocolo oficial.
  2. Amount: Si el mensaje incluye un número astronómico de tokens (como 999,999,999).
  3. Deadline: Si la firma tiene una fecha de caducidad muy lejana en el futuro.

«Una firma offline es un cheque firmado en blanco. Que no pagues gas hoy no significa que no vayas a pagar un precio muy alto mañana.»

Protección Avanzada contra Firmas Offline

Para combatir estas estafas de nueva generación, la educación visual ya no es suficiente. Necesitas herramientas técnicas:

  • Usa Rabby Wallet: Actualmente es la mejor billetera para detectar esto. Rabby analiza el mensaje EIP-712 y te avisa con un cartel rojo si la firma otorga permisos de transferencia de activos.
  • Desconfía de los «Sign-in» en sitios nuevos: Si una web que acabas de conocer te pide firmar un mensaje estructurado para «verificar que eres humano», sospecha inmediatamente.
  • Aísla tus activos: Nunca firmes nada, aunque parezca gratuito, con la billetera donde guardas tu patrimonio principal. Usa siempre una hot wallet segregada.

🛡️ Checklist: Blindaje ante Firmas Permit2

No dejes que una firma «gratis» vacíe tu futuro:

  • ☐ Lee antes de firmar: Si el mensaje de firma parece código informático ininteligible, no lo aceptes.
  • ☐ Revoca periódicamente: Las firmas Permit2 también pueden aparecer en herramientas como Revoke.cash. Límpialas regularmente.
  • ☐ Instala simuladores de seguridad: Extensiones como Pocket Universe detectan específicamente estos «Fake Permits».
  • ☐ Pasa tus fondos al búnker: Si tienes capital que no vas a mover, la única forma de estar 100% seguro contra firmas maliciosas es que esos fondos estén en una Safe Multisig que requiera múltiples confirmaciones físicas.

¿Has completado tu formación en seguridad? Ya sabes proteger tus llaves, tu privacidad y tus permisos. Ahora asegúrate de que tu protocolo de herencia esté listo por si algún día tú no estás para gestionar estas defensas.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio