Noticias de Ethereum: Cómo los hackers están explotando el EIP-7702 para vaciar las carteras

El 24 de mayo, las noticias de Ethereum vieron que un monedero recién habilitado con EIP-7702 perdió unos 150.000 dólares cuando unos estafadores engañaron al usuario para que aprobara un lote malicioso de transferencias de tokens.

Los ataques de phishing en criptografía han aumentado. Sólo en abril de 2025, las estafas drenaron aproximadamente 5,3 millones de dólares de 7.565 carteras. Ahora los atacantes están aprovechando la última actualización de la Pectra de Ethereum -concretamente la EIP-7702- para vaciar las cuentas de los usuarios.

Los analistas de seguridad advierten de que este novedoso exploit muestra la rapidez con la que los hackers se están adaptando a las nuevas funciones de monedero inteligente de Ethereum.

Ethereum EIP-7702 y la actualización de Pectra

EIP-7702 es una característica clave de la actualización “Pectra” de Ethereum de mayo de 2025. Básicamente, permite que los monederos ordinarios (Cuentas de Propiedad Externa, o EOA) actúen temporalmente como cuentas de contratos inteligentes durante una transacción.

Técnicamente, un usuario puede adjuntar pequeños fragmentos de código de contrato a su dirección para una transacción. Esto aporta ventajas avanzadas de “abstracción de cuenta” a los monederos normales: por ejemplo, ahora un usuario puede agrupar varias transferencias en una transacción, dejar que otra persona patrocine sus gastos de gas o utilizar esquemas de firma alternativos.

Proveedores de monederos como Ambire y Trust Wallet ya han introducido la compatibilidad con EIP-7702 en Ethereum. El director general de Ambire lo ha calificado como “la mayor actualización de UX” para Ethereum, ya que desbloquea funciones de cuenta inteligente sin obligar a los usuarios a crear nuevas carteras de contratos.

Sin embargo, los expertos en seguridad advirtieron que la EIP-7702 también abre nuevas superficies de ataque. Al permitir que un monedero ejecute código personalizado, los estafadores podrían, en teoría, empaquetar toda una rutina de vaciado de monederos en un único paso de aprobación.

En palabras de un desarrollador, la EIP-7702 “proporcionó una nueva vía a las campañas de phishing para vaciar carteras enteras de una sola vez”. En resumen, las funciones destinadas a mejorar la flexibilidad pueden ser contraproducentes si los usuarios no son extremadamente cuidadosos.

Noticias de Ethereum: Estafa de 150.000 dólares de Inferno Drainer a través de EIP-7702

El peligro se hizo real el 24 de mayo de 2025. Scam Sniffer -una plataforma Web3 antiestafas- informó de que el monedero MetaMask de un usuario, recientemente actualizado a EIP-7702, había sido vaciado de unos 146.551 dólares.

La empresa de seguridad Blockchain SlowMist analizó rápidamente el caso e identificó al culpable como Inferno Drainer, una conocida banda de phishing.

En lugar de secuestrar la dirección del monedero o robar frases semilla, los atacantes aprovecharon el nuevo sistema de “delegadores” de la actualización EIP-7702 de Ethereum, según las noticias. Convencieron al usuario para que autorizara un contrato delegador MetaMask de confianza (parte de EIP-7702) que los hackers ya habían registrado.

Cuando la víctima firmaba lo que parecía una transacción normal, desencadenaba una llamada “ejecutar” invisible que ejecutaba un lote de transferencias fraudulentas en segundo plano.

El resultado fue una fuga silenciosa de tokens por lotes. La captura de pantalla siguiente (de los registros de Scam Sniffer) muestra las aprobaciones de lotes maliciosas resaltadas en rojo: se aprobó la transferencia de docenas de tokens de una sola vez.

Como todo esto ocurría dentro de la cartera inteligente delegada, el usuario no veía ninguna ventana emergente evidente para la aprobación de cada token. En efecto, la víctima, sin saberlo, dio permiso general a los atacantes para mover docenas de activos diferentes en un solo paso.

Cómo funcionó la estafa de phishing de Inferno Drainer

El panel de control de ScamSniffer (arriba) muestra varias autorizaciones de tokens aprobadas a la vez mediante una única transacción por lotes. Así es exactamente como funcionó la estafa de phishing de Inferno Drainer: la llamada de “ejecución” de MetaMask de la víctima procesó silenciosamente un lote de aprobaciones maliciosas, permitiendo a los hackers desviar unos 150.000 dólares en monedas.

Yu Xian, fundador de SlowMist, explicó el esquema: el grupo de suplantación de identidad “utilizó una cartera MetaMask delegada -una ya autorizada en virtud de la EIP-7702- para aprobar transferencias de tokens de forma silenciosa mediante un proceso de autorización por lotes”.

En sus palabras, “la banda de phishing utiliza este mecanismo para completar operaciones de autorización por lotes en tokens relacionados con la dirección de la víctima”.

En otras palabras, los atacantes no tuvieron que sobrescribir la dirección del usuario con una falsa; simplemente se aprovecharon del código del contrato inteligente de MetaMask.

Xian señaló que se trata de una estafa más compleja que las anteriores: la dirección EOA del usuario permaneció inalterada, mientras que el lote malicioso fue gestionado por el contrato MetaMask EIP-7702 Delegator.

El análisis de SlowMist subraya que este exploit fue “muy creativo”: abusó de una función legítima del monedero de forma inesperada.

El propio grupo Inferno Drainer afirmó haber cerrado recientemente, pero Xian señaló que su malware sigue activo y ha obtenido más de 9 millones de dólares en los últimos seis meses. El hackeo del 24 de mayo se ajusta a su libro de jugadas de estafas de monederos multicadena, pero con un nuevo giro gracias a la actualización EIP-7702 de Ethereum.

Tendencias del phishing y riesgos del EIP-7702

Este ataque infernal no fue un hecho aislado. El cripto phishing sigue proliferando. El informe de Scam Sniffer de abril de 2025 registró unos 5,29 millones de dólares perdidos por estafas de phishing ese mes, un 26% más de víctimas que en marzo (7.565 víctimas). (Cabe destacar que el total de abril fue un 17% inferior a los 6,37 millones de dólares de marzo, pero muchos más usuarios fueron afectados).

El año pasado fue incluso peor: en 2024 se robaron unos 494 millones de dólares a través del phishing de monederos, un 67% más que en 2023, según Scam Sniffer. Estas pérdidas ponen de relieve cómo los atacantes siguen inventando nuevos trucos, incluso cuando los monederos son cada vez más seguros.

El exploit Ethereum EIP-7702 es la última evolución. Phishing tradicional a menudo engaña a las víctimas para que aprueben una única transferencia de tokens o envíen fondos a una dirección de imitación.

En cambio, el método de la banda Inferno les permite agrupar docenas de aprobaciones de tokens en un solo paso oculto. Como señaló SlowMist, esto marca un cambio: los atacantes están integrando ahora las actualizaciones oficiales de Ethereum en sus estafas.

Yu Xian advirtió que, como los usuarios confían en funciones avanzadas de monedero como la EIP-7702, los phishers ven “nuevas vías” para drenar fondos. En resumen, los grupos conocidos se están poniendo al día con la nueva tecnología.

Aparte de Inferno Drainer, en mayo surgieron otros esquemas EIP-7702. El 20 de mayo, GoPlus Security (a través de BlockBeats) emitió una alerta sobre una dirección “delegadora” EIP-7702 maliciosa.

Si un usuario autorizaba esta dirección, desviaba instantáneamente cualquier ETH que hubiera en el monedero a la cuenta del atacante. GoPlus instó a los usuarios a habilitar el EIP-7702 sólo a través de las interfaces de usuario oficiales del monedero y a rechazar cualquier enlace de actualización no solicitado en correos electrónicos.

En sus palabras, “sólo autoriza la función 7702 a través de la aplicación de monedero oficial… nunca hagas clic en enlaces externos ni en la opción” actualizar “de los correos electrónicos, y verifica siempre el código fuente del contrato”. Estas precauciones se hacen eco del consejo de SlowMist: verifica siempre dónde se originan las transacciones y audita tus autorizaciones.

Consejos de expertos y sugerencias de los usuarios

Las empresas de seguridad insisten en la vigilancia. Scam Sniffer recomienda comprobar dos veces cualquier sitio o contrato antes de firmarlo. Por ejemplo, aconsejan a los usuarios que verifiquen los sitios web antes de iniciar sesión o aprobar transacciones, que auditen regularmente los permisos de los tokens y que eviten hacer clic en enlaces no verificados.

Yu Xian, de SlowMist, ofrece advertencias similares: “Todo el mundo debe estar alerta… ten cuidado porque te quitarán los activos de tu cartera” si te estafan.

Insta específicamente a los usuarios a que revisen todas las autorizaciones de tokens y estén atentos a cualquier delegación EIP-7702 de Ethereum desconocida vinculada a su monedero. En una entrevista reciente, Xian también advirtió a los usuarios de criptomonedas: “No confíes en una sola fuente. Cuando se trate de dinero, establece siempre otra fuente fiable para la verificación”.

En la práctica, eso significa cotejar los servidores de Discord, las publicaciones de Twitter o los enlaces de correo electrónico a través de los canales oficiales, y nunca apresurarse a firmar una solicitud aleatoria.

The post Noticias de Ethereum: Cómo los hackers están explotando el EIP-7702 para vaciar las carteras appeared first on The Coin Republic.