Descubre cómo Trust Wallet aborda los riesgos de aprobación de tokens con una experiencia de usuario más segura y herramientas para más de 200 millones de usuarios. Por Eve Lam, CISO de Trust Wallet.
El riesgo invisible que acecha en tu Billetera
Las aprobaciones de tokens son una de las amenazas más pasadas por alto en la Web3. Cada vez que conectas tu billetera y autorizas a una aplicación descentralizada (DApp) a acceder a tus tokens, a menudo estás otorgando acceso indefinido. Con el tiempo, estas aprobaciones se acumulan silenciosamente en segundo plano. La mayoría de los usuarios ni siquiera saben que existen y, de hecho, según Revoke, se han robado más de $475M desde 2020 en hackeos y explotaciones de aprobación reportados. Esto es más que una brecha técnica a nuestros ojos. Es más un fallo de experiencia del usuario y un punto ciego de seguridad, y para la próxima ola de usuarios que ingresan a la Web3, es un riesgo que no deberían tener que asumir.
Liderar en seguridad es una responsabilidad fundamental para cualquier proveedor de billeteras, y con más de 15 millones de usuarios activos mensuales y más de 200 millones de descargas, es una responsabilidad que Trust Wallet asume plenamente. Solucionar el problema de las aprobaciones de tokens es parte de ese compromiso, garantizando una protección más fuerte para todos los que confían en nosotros y ayudando a construir un ecosistema Web3 más seguro.
Por qué las aprobaciones infinitas se convirtieron en la norma
Cuando usas una aplicación descentralizada (DApp), esta no puede mover tus tokens a menos que des permiso a través de una transacción de aprobación de token. Las aprobaciones permiten que un Smart Contract gaste tus tokens en tu nombre. La mayoría de las DApps solicitan aprobación ilimitada para que no tengas que aprobar cada vez. Una vez concedidas, estas aprobaciones permanecen activas en la cadena hasta que las revoques.
Esta conveniencia tiene un costo: las aprobaciones de tokens son silenciosas, permanentes y arriesgadas por defecto. Los usuarios dan acceso ilimitado a las DApps sin darse cuenta. Las billeteras rara vez muestran o explican estos permisos. Los atacantes los explotan, a menudo mucho después de que se otorga la aprobación.
Cómo se acumula el riesgo de aprobación con el tiempo
Las amenazas del mundo real a menudo siguen estos patrones. Un actor malicioso puede engañarte para que otorgues aprobación ilimitada a un contrato dañino. Es posible que no veas ningún problema si tu billetera está vacía en ese momento. Más tarde, cuando deposites fondos, el contrato los drena instantáneamente. O bien, un contrato que alguna vez fue confiable se ve comprometido, convirtiendo un permiso seguro en una vulnerabilidad peligrosa.
Más preocupante aún es que en la mayoría de las billeteras actuales, no es fácil ver o gestionar las aprobaciones de tokens. El usuario promedio tendría dificultades para averiguar qué contratos tienen acceso a sus activos, y mucho menos evaluar cuáles son de alto riesgo.
La oportunidad: herramientas nativas, construidas de la manera correcta
La mayoría de las billeteras carecen de una interfaz nativa y fácil de usar para revisar y gestionar las aprobaciones de tokens. Algunas dependen de herramientas de terceros o entierran los permisos en la configuración, si es que lo hacen. Como resultado, los usuarios a menudo desconocen qué contratos tienen acceso continuo.
En Trust Wallet, reconocemos la brecha y estamos trabajando para cerrarla. Es por eso que la gestión de aprobación de tokens está en nuestra hoja de ruta para el cuarto trimestre de este año: construida para escalar, diseñada con cuidado y lanzada con precisión centrada en la seguridad. Nuestra visión es un panel inteligente centrado en el usuario que simplifique los complejos permisos de blockchain en información clara y procesable.
Cómo EIP-7702 ayuda a reducir el riesgo de aprobación
Reducir el número de aprobaciones que un usuario necesita hacer puede ser tan importante como gestionarlas bien. EIP-7702 está diseñado para ayudar con esto al permitir que la billetera simule y pre-apruebe todas las acciones necesarias en una sesión segura. Firmas una vez, y el relayer maneja tanto la aprobación como la transacción prevista en segundo plano.
Con 7702:
- La billetera simula todas las aprobaciones y transacciones requeridas.
- El usuario firma una intención de sesión.
- Tanto la aprobación como la acción se ejecutan juntas.
- Menos pop-ups de "aprobar", menos aprobaciones ilimitadas persistentes.
En resumen, 7702 agiliza la experiencia del usuario mientras reduce la necesidad de permisos arriesgados y permanentes.
Repensando la higiene de aprobación como experiencia del usuario cotidiana
Mantener las aprobaciones de tokens bajo control debería sentirse tan natural como otras verificaciones rutinarias que las personas hacen para mantenerse seguras en línea. El proceso funciona mejor cuando está integrado en el uso normal de la billetera, en lugar de dejarlo como una tarea separada que el usuario debe recordar.
Trust Wallet está desarrollando características para facilitar este mantenimiento: recordatorios discretos para revisar aprobaciones activas, señales visuales para contratos que pueden ser riesgosos u obsoletos, opciones para que el acceso caduque automáticamente después de inactividad, y un panel que enumera claramente cada permiso activo en un solo lugar. Cuando estas salvaguardas son parte del flujo regular, los usuarios pueden mantenerse protegidos sin esfuerzo adicional.
Billeteras como guardianes, no solo interfaces
Las aprobaciones de tokens son una pieza de una pregunta más grande: ¿cómo pueden las billeteras hacer más para proteger a los usuarios?
En Trust Wallet, la seguridad está integrada en todo lo que construimos. Nuestro Escáner de Seguridad detecta proactivamente estafas conocidas y contratos maliciosos, bloqueando aprobaciones peligrosas y conexiones de DApp antes de que ocurran. Desde 2023, hemos bloqueado más de $458 millones que iban a contratos maliciosos y ayudado a recuperar más de $2 millones en fondos robados.
Fuimos la primera billetera importante de autocustodia en lograr la certificación ISO/IEC 27001 y 27701, cumpliendo con estándares internacionalmente reconocidos para seguridad y privacidad.
El mismo principio guiará nuestras herramientas de aprobación de tokens: protección integrada, no añadida posteriormente.
Mirando hacia adelante: construyendo para los próximos 200 millones
Nuestra responsabilidad va más allá de mantener lo que ya hemos construido; se trata de prepararnos para la próxima ola de usuarios de Web3 y los desafíos que enfrentarán. Eso significa continuar implementando características que eliminen la fricción y fortalezcan la seguridad, como mejores valores predeterminados y automatización más inteligente, inicio de sesión biométrico en nuestra Extensión, simplicidad cross-chain con FlexGas para que el gas se pueda pagar con tokens que los usuarios ya tienen, etc.
Con todo lo que hemos cubierto, no hace falta decir que uno de los desarrollos más importantes en el horizonte es nuestra gestión nativa de aprobación de tokens. Esto dará a cada usuario una visión clara de qué contratos pueden acceder a sus tokens, destacará riesgos potenciales y hará que revocar o ajustar permisos sea rápido y simple. Cuando se combina con nuestros otros avances en seguridad y usabilidad, ayudará a garantizar que millones más de personas puedan explorar la Web3 con mucha más confianza.
Este enfoque se integra en nuestra visión de que las billeteras no son solo herramientas, son esencialmente compañeros de Web3. Deberían abstraer la complejidad, mostrar los riesgos y permitir oportunidades sin comprometer la seguridad del usuario.
Pensamientos finales
Las aprobaciones de tokens no deberían ser invisibles, permanentes o la razón por la que los usuarios pierden fondos. Con herramientas más inteligentes, valores predeterminados más seguros y protecciones integradas, podemos hacer que este riesgo sea cosa del pasado. En Trust Wallet, estamos construyendo para los usuarios de hoy y los próximos 200 millones, porque con esa escala viene la responsabilidad de liderar.
Mantente atento. Una experiencia de billetera más segura e inteligente está en camino.
La publicación El peligro oculto en tu Billetera: Explicación de las aprobaciones de tokens apareció primero en BeInCrypto.
Fuente: https://beincrypto.com/hidden-danger-wallet-token-approvals-explained/
