Ataques Approval Drainer en el entorno de Hyperliquid

6 may 2026

  • approval drainer hyperliquid

  • drainer hyperliquid

  • hyperliquid token approval attack

  • ataque de autorización ERC-20

Entre las distintas formas de robo de criptoactivos, los Approval Drainers son una de las más simples a nivel técnico para el atacante y una de las que más rápido está creciendo en escala. No necesitan romper tu clave privada ni ejecutar un ataque complejo on-chain: basta con que tú “voluntariamente” firmes una transacción o mensaje que no entiendes del todo.

Con el lanzamiento de HyperEVM, la actividad on-chain dentro del ecosistema de Hyperliquid se vuelve más rica y flexible, pero también aumenta el riesgo de ataques Drainer dirigidos a sus usuarios. En este artículo verás cómo funcionan estos ataques y qué puedes hacer para reducir el riesgo.

Según investigaciones de Chainalysis, los kits de Drainer ya forman parte de una industria clandestina bastante madura: los atacantes pueden desplegar contratos Drainer personalizados a muy bajo costo y distribuirlos masivamente mediante sitios de phishing o DApps maliciosas.

Cómo funciona un Approval Drainer

Para entender un ataque Drainer, primero hay que entender el mecanismo de autorización de los tokens ERC-20.

El estándar ERC-20 define una función llamada approve, que permite al holder de un token autorizar a otra dirección —normalmente un contrato inteligente— a transferir sus tokens hasta cierto límite. Este mecanismo es una de las bases de DeFi: cuando haces un swap en un DEX, primero debes autorizar al contrato del exchange para que pueda usar los tokens de tu wallet.

Un Drainer abusa justamente de este mecanismo:

  1. El atacante despliega un contrato malicioso diseñado para mover activos en cuanto recibe una autorización.
  2. Mediante un sitio falso, un airdrop fraudulento o una DApp maliciosa, induce al usuario a aprobar ese contrato.
  3. El usuario firma una transacción que parece inofensiva, pero en realidad le concede al contrato malicioso permiso para transferir uno o varios tokens.
  4. El contrato malicioso transfiere los tokens de la wallet del usuario, normalmente en la misma transacción o en una transacción posterior.

Todo el proceso puede completarse en segundos. Además, una vez que el approve queda confirmado on-chain, el atacante puede mover los fondos en cualquier momento mientras la autorización no sea revocada.

Riesgos específicos en HyperEVM

HyperEVM es el entorno de ejecución compatible con EVM lanzado por Hyperliquid, que permite ejecutar contratos inteligentes estándar de Ethereum en la infraestructura de Hyperliquid. Esto abre la puerta a más posibilidades DeFi dentro del ecosistema, pero también introduce riesgos de seguridad similares a los que ya existen en Ethereum.

En HyperEVM, los ataques Drainer pueden aparecer de varias formas:

  • Páginas de phishing que se hacen pasar por DApps nativas de HyperEVM y piden autorización a contratos maliciosos.
  • Drainers basados en firmas EIP-2612 Permit, que engañan al usuario para firmar un mensaje off-chain en lugar de una transacción on-chain. Esto puede otorgar autorización sin que el usuario pague gas, lo que lo vuelve más difícil de detectar.
  • Interfaces falsas de protocolos legítimos de HyperEVM que insertan solicitudes adicionales de approve durante una interacción aparentemente normal.

Aunque el estándar de firmas estructuradas EIP-712 mejora la legibilidad de los mensajes, muchos usuarios siguen sin entender lo que están firmando. Esa brecha es precisamente la que aprovechan los Drainers basados en Permit.

Permit Drainer: la variante más difícil de detectar

Un Drainer tradicional basado en approve genera una transacción on-chain. En muchas wallets verás algo como “Token Approval”, y un usuario con experiencia puede notar que algo no cuadra.

Un Drainer basado en Permit, en cambio, es más discreto.

El usuario ve una solicitud de tipo “Sign Message”, no una transacción. La ventana muestra datos con cierto formato, y puede parecer un login normal, una verificación de identidad o una confirmación de cuenta. Muchos usuarios simplemente hacen clic en confirmar.

Pero en realidad, ese mensaje puede ser una autorización Permit conforme a EIP-2612, con campos como:

  • spender: la dirección que recibe la autorización, normalmente el contrato malicioso del atacante.
  • value: el monto autorizado, muchas veces el valor máximo U256, equivalente a una autorización ilimitada.
  • deadline: el vencimiento de la autorización, a menudo configurado muy lejos en el futuro.

Una vez que firmas ese mensaje, el atacante solo necesita publicarlo junto con una llamada transferFrom para mover tus tokens. Tú no pagas el gas de esa operación, pero tus activos pueden salir de la wallet.

Cómo protegerte de los ataques Drainer

1. Entiende cada solicitud antes de firmar

Cada vez que tu wallet muestre una solicitud de firma, haz una pausa y revisa qué estás autorizando.

  • Si es una Transaction, revisa que la dirección to sea el contrato esperado y que el campo data no contenga una llamada approve sospechosa.
  • Si es un Sign Message, revisa si el contenido incluye campos como spender, value, deadline o cualquier referencia a Permit.
  • Si no entiendes lo que estás firmando, no firmes.

En trading on-chain, la velocidad importa, pero confirmar a ciegas puede salir mucho más caro que perder una oportunidad.

2. Revisa y revoca autorizaciones innecesarias

Puedes usar Revoke.cash para conectar tu wallet y revisar las autorizaciones activas en distintas redes. Si ves contratos que no reconoces o permisos que ya no usas, conviene revocarlos.

Como práctica básica, revisa tus allowances al menos una vez al mes, especialmente después de interactuar con una DApp nueva.

3. Usa montos de autorización mínimos

Cuando una DApp te pida approve, evita aceptar por defecto una autorización ilimitada o “Max”. Siempre que sea posible, autoriza solo el monto necesario para la operación actual.

Así, incluso si interactúas con un contrato malicioso, el daño queda limitado al monto autorizado y no a todo tu balance del token.

4. Sé más cuidadoso con DApps de HyperEVM

El ecosistema HyperEVM todavía es relativamente nuevo. Algunos protocolos pueden no estar auditados, tener bugs inesperados o incluso ser proyectos maliciosos disfrazados.

Antes de usar cualquier DApp de HyperEVM, verifica:

  • Si el proyecto tiene auditorías públicas.
  • Si la comunidad lo reconoce como legítimo.
  • Si el enlace proviene de canales oficiales, no de anuncios, búsquedas patrocinadas o mensajes de grupos.

La documentación oficial de Hyperliquid es un buen punto de partida para identificar recursos oficiales del ecosistema HyperEVM.

5. Usa una wallet hardware OneKey para confirmación física

Una wallet hardware OneKey puede ayudarte a reducir el riesgo porque muestra en la pantalla del dispositivo información crítica de la operación, como el spender y el monto autorizado, en lugar de depender únicamente de lo que ves en el navegador o en la app.

Esto importa porque un sitio malicioso puede manipular la interfaz web para mostrar textos amigables, pero no puede cambiar lo que el hardware verifica antes de que confirmes.

Para firmas off-chain tipo Permit, OneKey también puede mostrar datos estructurados de la firma en el dispositivo, ayudándote a detectar solicitudes que no son simples “logins”.

Señales de alerta de un Drainer y cómo responder

Señal de alertaRiesgo potencialQué hacer
Te piden aprobar un monto ilimitadoEl contrato podría mover todo tu balance del tokenCambia el monto a lo necesario o cancela
La firma incluye spender, value o deadlinePuede ser una autorización PermitRevisa con cuidado; si no entiendes, no firmes
El sitio promete un airdrop “gratis” o urgentePuede ser phishingVerifica desde canales oficiales
Llegaste al sitio desde Telegram, Discord o un anuncioAlto riesgo de enlace falsoUsa marcadores o documentación oficial
La DApp pide permisos que no corresponden a la acciónPosible intento de autorización maliciosaCancela y revisa el contrato

Preguntas frecuentes

Q1: Si revoco la autorización, ¿puedo recuperar los tokens que el Drainer ya movió?

No. Revocar una autorización solo evita transferencias futuras. No puede revertir transacciones on-chain ya confirmadas. Una vez confirmada una transferencia en la blockchain, no se puede deshacer.

Q2: ¿Es seguro solo “ver” un sitio sospechoso sin conectar la wallet?

En general, solo visitar un sitio no debería mover tus activos, porque para transferir fondos se necesita una firma o transacción. Sin embargo, algunos sitios maliciosos pueden intentar explotar vulnerabilidades del navegador o extensiones. Para sitios dudosos, es mejor usar un navegador separado que no tenga wallets con fondos.

Q3: ¿Cuál es la diferencia real entre EIP-2612 Permit y un approve normal?

Un approve normal es una transacción on-chain y requiere gas. EIP-2612 Permit es un mensaje firmado off-chain que no requiere gas al momento de firmar. Pero después, el atacante puede usar esa firma para ejecutar un transferFrom on-chain.

La idea de que “firmar mensajes no puede causar pérdidas” es falsa. Depende de qué mensaje estés firmando.

Q4: ¿OneKey puede bloquear por completo los ataques Drainer?

No hay una protección absoluta. OneKey reduce de forma importante el riesgo gracias a la confirmación física y a la visualización de datos críticos en el dispositivo, pero la decisión final sigue siendo tuya. Si confirmas una operación que no entiendes, el riesgo permanece.

Q5: ¿Qué acciones en HyperEVM suelen ser más riesgosas?

Reclamar “airdrops gratis”, entrar en pools o campañas de yield de origen desconocido, usar DApps encontradas por buscador en lugar de enlaces guardados, y hacer clic en links compartidos en Telegram o Discord son escenarios de alto riesgo. Verifica siempre por canales oficiales antes de interactuar on-chain.

Conclusión: entiende cada firma y verifica con hardware

Lo peligroso de un Approval Drainer es que no depende necesariamente de una vulnerabilidad técnica: aprovecha errores de juicio del usuario. A medida que HyperEVM crece y más actividad DeFi llega al ecosistema Hyperliquid, estos ataques pueden volverse más frecuentes y sofisticados.

La mejor defensa es convertir la revisión de cada firma en un hábito. Usa una wallet hardware OneKey para verificar físicamente lo que estás aprobando, limpia autorizaciones antiguas con Revoke.cash y, para operar en Hyperliquid, considera usar OneKey Perps como flujo práctico dentro del ecosistema OneKey.

Puedes visitar onekey.so/download para probar o descargar OneKey y explorar OneKey Perps. Hazlo como parte de una rutina de seguridad, no como una garantía de protección total.

Aviso de riesgo: este artículo es solo informativo y no constituye asesoría legal, financiera ni de inversión. La seguridad de tus activos on-chain es tu responsabilidad. Ninguna medida puede garantizar protección completa contra todos los ataques. Mantente informado y trata con cautela cualquier solicitud de firma o interacción on-chain.

Asegura tu viaje cripto con OneKey

View details for Comprar OneKeyComprar OneKey

Comprar OneKey

La cartera de hardware más avanzada del mundo.

View details for Descargar aplicaciónDescargar aplicación

Descargar aplicación

Alertas de estafa. Todas las monedas soportadas.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Claridad cripto — a una llamada de distancia.