Usuario pierde $304,595 aBasUSDC por explotación maliciosa de firma 'Permit'

Resumen Ejecutivo

Un usuario de criptomonedas perdió $304,595 en tokens aBasUSDC después de ejecutar una firma 'permit' maliciosa, según informó Scam Sniffer el 5 de noviembre de 2025, lo que subraya los desafíos de seguridad persistentes en las finanzas descentralizadas.

El Evento en Detalle

El 5 de noviembre de 2025, un usuario perdió $304,595 en tokens aBasUSDC. El incidente, sacado a la luz por Scam Sniffer y posteriormente reportado por PANews, implicó que el usuario firmara una firma 'permit' fraudulenta. Este método de ataque engaña a los usuarios para que autoricen la transferencia de sus activos digitales sin su conocimiento explícito o intención para la transacción específica.

La función 'permit', introducida en el protocolo ERC20 a través de EIP-2612, permite a los usuarios otorgar autorización fuera de la cadena para transferencias de tokens. Típicamente, esta función permite que una cuenta (Propietario) genere una firma de autorización para un receptor designado (Gastador), permitiendo al receptor realizar operaciones autorizadas, como iniciar llamadas transferFrom, sin requerir una transacción en cadena del Propietario. La firma contiene parámetros que incluyen Propietario, Gastador, Valor y Fecha Límite. Este mecanismo, diseñado para la eficiencia, puede ser explotado si los usuarios son engañados para firmar autorizaciones maliciosas.

Implicaciones en el Mercado

Esta explotación subraya una vulnerabilidad crítica dentro del ecosistema Web3, específicamente en lo que respecta a los mecanismos de autorización de tokens. El incidente sigue a otras pérdidas significativas, como la de dos usuarios que perdieron $155,000 en aBascbBTC y $90,000 en XAUt el 30 de septiembre de 2025, después de firmar firmas Uniswap Permit2 maliciosas. Estos eventos destacan la creciente sofisticación de los ataques que aprovechan funciones legítimas de protocolo para ganancias ilícitas.

El sentimiento general del mercado sigue siendo cauteloso, con pérdidas totales en el sector Web3 debido a ataques de hackers, estafas de phishing y "rug pulls" que ascienden a aproximadamente $2,138 millones en el primer semestre de 2025. El monitoreo de Beosin Alert registró 90 incidentes de ataques importantes en el mismo período, con pérdidas totales que alcanzaron los $2,093 millones. Tales incidentes, incluida la explotación de Balancer V2 el 3 de noviembre de 2025, que vio más de $128 millones robados, contribuyen a una mayor preocupación de los inversores con respecto a la seguridad e integridad de las plataformas de finanzas descentralizadas.

Comentario de Expertos

Plataformas de seguridad como GoPlus aconsejan a los usuarios mantener una vigilancia extrema, recomendando una estricta adhesión a los protocolos de seguridad. Estos incluyen evitar enlaces desconocidos, abstenerse de instalar software no verificado, ejercer precaución al firmar contenido de transacciones desconocido y no transferir fondos a direcciones no verificadas. Scam Sniffer, una plataforma anti-estafas de Web3, monitorea activamente tales amenazas, proporcionando protección en tiempo real a través de una combinación de análisis de datos fuera de la cadena y en la cadena. Sus soluciones de seguridad son utilizadas por las principales billeteras, incluidas Binance, Bybit, OneKey, Phantom y TokenPocket, con el objetivo de salvaguardar a millones de usuarios del phishing y el fraude.

Contexto más Amplio

La naturaleza recurrente de estas explotaciones requiere una vigilancia continua tanto de los usuarios individuales como de los equipos de proyectos Web3. Si bien la función 'permit' ofrece eficiencia transaccional, su explotación destaca el desafío continuo de asegurar los activos digitales en un panorama tecnológico en rápida evolución. El incidente refuerza la necesidad de prácticas de seguridad robustas, incluida la verificación cuidadosa de los detalles de las transacciones y el uso de herramientas de seguridad confiables, para mitigar los riesgos asociados con las funciones avanzadas de las billeteras Web3 y los protocolos de autorización.