El investigador de seguridad en cadena ZachXBT señaló cientos de billeteras en múltiples cadenas EVM que fueron drenadas por pequeñas cantidades, típicamente menos de $2,000 por víctima, canalizadas hacia una única dirección sospechosa.
El total del robo superó los $107,000 y continuó aumentando. La causa raíz aún se desconoce, pero los usuarios reportaron haber recibido un email de phishing disimulado como una actualización obligatoria de MetaMask, completo con un logo de zorro con gorro de fiesta y un asunto de "¡Feliz Año Nuevo!".
Este ataque llegó cuando los desarrolladores estaban de vacaciones, los canales de soporte operaban con personal mínimo y los usuarios revisaban bandejas de entrada saturadas con promociones de Año Nuevo.
Los atacantes explotan esa ventana. Las pequeñas cantidades por víctima sugieren que el drenador opera mediante aprobaciones de contratos en lugar de compromiso completo de la frase de recuperación en muchos casos, lo que mantiene las pérdidas individuales por debajo del umbral donde las víctimas inmediatamente dan la alarma, pero permite al atacante escalar a través de cientos de billeteras.
La industria todavía está procesando un incidente separado de la extensión del navegador Trust Wallet en el cual código malicioso en la extensión de Chrome v2.68 cosechó claves privadas y drenó al menos $8.5 millones de 2,520 billeteras antes de que Trust Wallet parchara a la v2.69.
Dos exploits diferentes, misma lección: los puntos finales del usuario siguen siendo el eslabón más débil.
Anatomía de un email de phishing que funciona
El email de phishing con temática de MetaMask demuestra por qué estos ataques tienen éxito.
La identidad del remitente muestra "MetaLiveChain", un nombre que suena vagamente adyacente a DeFi pero no tiene conexión con MetaMask.
El encabezado del email contiene un enlace para darse de baja de "[email protected]", revelando que el atacante copió plantillas de campañas de marketing legítimas. El cuerpo presenta el logo del zorro de MetaMask usando un gorro de fiesta, mezclando alegría estacional con urgencia fabricada sobre una "actualización obligatoria".
Esa combinación evade las heurísticas que la mayoría de usuarios aplican a estafas obvias.
El email de phishing suplanta a MetaMask con un logo de zorro con gorro de fiesta, afirmando falsamente que se requiere una actualización de sistema "obligatoria" de 2026 para acceder a la cuenta.La documentación oficial de seguridad de MetaMask establece reglas claras. Los emails de soporte provienen únicamente de direcciones verificadas, como [email protected], y nunca de dominios de terceros.
El proveedor de la billetera no envía emails no solicitados exigiendo verificación o actualizaciones.
Además, ningún representante pedirá jamás una Frase de Recuperación Secreta. Sin embargo, estos emails funcionan porque explotan la brecha entre lo que los usuarios saben intelectualmente y lo que hacen reflexivamente cuando llega un mensaje de apariencia oficial.
Cuatro señales exponen el phishing antes de que ocurra el daño.
Primero, desajuste de marca-remitente, ya que la marca MetaMask proveniente de "MetaLiveChain" señala robo de plantilla. Segundo, urgencia fabricada en torno a actualizaciones obligatorias que MetaMask explícitamente dice que no enviará.
Tercero, URLs de destino que no coinciden con los dominios declarados; pasar el cursor antes de hacer clic revela el objetivo real. Cuarto, solicitudes que violan las reglas centrales de la billetera, como pedir frases de recuperación o solicitar firmas en mensajes off-chain opacos.
El caso de ZachXBT demuestra la mecánica del phishing de firma. Las víctimas que hicieron clic en el enlace de actualización falso probablemente firmaron una aprobación de contrato otorgando al drenador permiso para mover tokens.
Esa única firma abrió la puerta al robo continuo a través de múltiples cadenas. El atacante eligió pequeñas cantidades por billetera porque las aprobaciones de contratos a menudo llevan límites de gasto ilimitados por defecto, pero drenar todo desencadenaría investigaciones inmediatas.
Distribuir el robo entre cientos de víctimas a $2,000 cada una pasa desapercibido individualmente mientras acumula totales de seis cifras.
Revocar aprobaciones y reducir el radio de explosión
Una vez que se hace clic en un enlace de phishing o se firma una aprobación maliciosa, la prioridad cambia a la contención. MetaMask ahora permite a los usuarios ver y revocar asignaciones de tokens directamente dentro de MetaMask Portfolio.
Revoke.cash guía a los usuarios a través de un proceso simple: conecta tu billetera, inspecciona aprobaciones por red y envía transacciones de revocación para contratos no confiables.
La página Token Approvals de Etherscan ofrece la misma funcionalidad para la revocación manual de aprobaciones ERC-20, ERC-721 y ERC-1155. Estas herramientas importan porque las víctimas que actúan rápido podrían cortar el acceso del drenador antes de perder todo.
La distinción entre compromiso de aprobación y compromiso de frase de recuperación determina si una billetera puede ser salvada. La guía de seguridad de MetaMask traza una línea dura: si sospechas que tu Frase de Recuperación Secreta ha sido expuesta, deja de usar esa billetera inmediatamente.
Crea una nueva billetera en un dispositivo nuevo, transfiere los activos restantes y trata la frase de recuperación original como permanentemente quemada. Revocar aprobaciones ayuda cuando el atacante solo tiene permisos de contrato; si tu frase de recuperación se ha ido, toda la billetera debe ser abandonada.
Chainalysis documentó aproximadamente 158,000 compromisos de billeteras personales que afectaron al menos a 80,000 personas en 2025, incluso cuando el valor total robado cayó a aproximadamente $713 millones.
Las pérdidas de billeteras personales como porción del robo total de criptomonedas subieron de aproximadamente 10% en 2022 a casi 25% en 2025, según datos de Chainalysis.Los atacantes golpean más billeteras por cantidades más pequeñas, el patrón que ZachXBT identificó. La implicación práctica: organizar billeteras para limitar el radio de explosión importa tanto como evitar el phishing.
Una sola billetera comprometida no debería significar la pérdida total del portafolio.
Construyendo defensa en profundidad
Los proveedores de billeteras han lanzado características que habrían contenido este ataque si se hubieran adoptado.
MetaMask ahora fomenta establecer límites de gasto en aprobaciones de tokens en lugar de aceptar los permisos "ilimitados" por defecto. Revoke.cash y el panel Shield de De.Fi abogan por tratar las revisiones de aprobación como higiene rutinaria junto con el uso de billeteras de hardware para tenencias a largo plazo.
MetaMask habilita alertas de seguridad de transacciones de Blockaid por defecto, señalando contratos sospechosos antes de que se ejecuten las firmas.
El incidente de la extensión Trust Wallet refuerza la necesidad de defensa en profundidad. Ese exploit evadió las decisiones del usuario, y código malicioso en un listado oficial de Chrome cosechó claves automáticamente.
Los usuarios que segregaron tenencias entre billeteras de hardware (almacenamiento en frío), billeteras de software (transacciones cálidas) y Billeteras descartables (protocolos experimentales) limitaron la exposición.
Ese modelo de tres niveles crea fricción, pero la fricción es el punto. Un email de phishing que captura una billetera descartable cuesta cientos o unos pocos miles de dólares. El mismo ataque contra una sola billetera que contiene un portafolio completo cuesta dinero que cambia vidas.
El drenador de ZachXBT tuvo éxito porque apuntó a la costura entre conveniencia y seguridad. La mayoría de usuarios mantienen todo en una instancia de MetaMask porque manejar múltiples billeteras se siente engorroso.
El atacante apostó a que un email de aspecto profesional en el Día de Año Nuevo atraparía suficientes personas desprevenidas para generar volumen rentable. Esa apuesta dio resultado, con $107,000 y contando.
La guía oficial de MetaMask identifica tres señales de alerta de phishing: direcciones de remitente incorrectas, demandas urgentes de actualización no solicitadas y solicitudes de Frases de Recuperación Secretas o contraseñas.Lo que está en juego
Este incidente plantea una pregunta más profunda: ¿quién tiene la responsabilidad de la seguridad del punto final en un mundo de autocustodia?
Los proveedores de billeteras construyen herramientas anti-phishing, los investigadores publican informes de amenazas y los reguladores advierten a los consumidores. Sin embargo, el atacante solo necesitó un email falso, un logo clonado y un contrato drenador para comprometer cientos de billeteras.
La infraestructura que habilita la autocustodia, transacciones sin permisos, direcciones seudónimas y transferencias irreversibles también la hace implacable.
La industria trata esto como un problema de educación: si los usuarios verificaran direcciones de remitente, pasaran el cursor sobre enlaces y revocaran aprobaciones antiguas, los ataques fallarían.
Sin embargo, los datos de Chainalysis sobre 158,000 compromisos sugieren que la educación por sí sola no escala. Los atacantes se adaptan más rápido de lo que los usuarios aprenden. El email de phishing de MetaMask evolucionó de plantillas crudas de "¡Tu billetera está bloqueada!" a campañas estacionales pulidas.
El exploit de la extensión Trust Wallet demostró que incluso usuarios cuidadosos pueden perder fondos si los canales de distribución se ven comprometidos.
Lo que funciona: billeteras de hardware para tenencias significativas, revocación despiadada de aprobaciones, segregación de billeteras por perfil de riesgo y escepticismo hacia cualquier mensaje no solicitado de proveedores de billeteras.
Lo que no funciona: asumir que las interfaces de billetera son seguras por defecto, tratar las aprobaciones como decisiones únicas o consolidar todos los activos en una sola hot wallet por conveniencia. El drenador de ZachXBT será cerrado porque la dirección está marcada y los exchanges congelarán los depósitos.
Pero otro drenador se lanzará la próxima semana con una plantilla ligeramente diferente y una nueva dirección de contrato.
El ciclo continúa hasta que los usuarios internalicen que la conveniencia de las criptomonedas crea una superficie de ataque que eventualmente es explotada. La elección no es entre seguridad y usabilidad, sino entre fricción ahora y pérdida después.
Fuente: https://cryptoslate.com/hundreds-of-evm-wallets-drained-what-to-check-before-you-update/
