Firmas Drainer en DEX de perpetuos: cómo funcionan y cómo identificarlas

6 may 2026

Los ataques tipo Drainer se han convertido en una de las fuentes de mayores pérdidas dentro del ecosistema DeFi. Investigaciones recientes de Chainalysis muestran que el modelo Drainer-as-a-Service ya está altamente industrializado: un atacante puede suscribirse a kits listos para usar y lanzar campañas sofisticadas de fraude de firmas contra usuarios de DEX de perpetuos.

Si operas activamente en plataformas como Hyperliquid, dYdX, GMX u otros mercados de contratos perpetuos, entender cómo funcionan las firmas Drainer es un primer paso esencial para protegerte.

Qué es un ataque de firma Drainer

El núcleo de un ataque Drainer consiste en usar ingeniería social o phishing para convencerte de firmar una solicitud que parece inofensiva, pero que en realidad autoriza el movimiento de tus activos.

A diferencia de un robo directo de llave privada, un Drainer abusa de mecanismos legítimos del ecosistema Ethereum, como:

  • Approve de tokens ERC-20: permite que una dirección de terceros transfiera una cantidad específica de tokens.
  • Firmas EIP-2612 Permit: permiten otorgar permisos mediante firma off-chain, sin una transacción Approve en cadena.
  • Firmas de datos estructurados EIP-712: se usan para autorizar distintos tipos de operaciones estructuradas.
  • Autorizaciones por lotes relacionadas con EIP-4337 y account abstraction.

Estos mecanismos son normales y necesarios en muchos flujos DeFi. El problema es que los atacantes aprovechan su complejidad técnica para disfrazar una autorización maliciosa como si fuera una interacción común con una DApp.

Riesgos específicos en DEX de perpetuos

La alta frecuencia de interacción abre más ventanas de riesgo

Quienes operan perpetuos suelen interactuar muchas veces con contratos de un DEX: abrir posiciones, aumentar tamaño, ajustar margen, reclamar funding o gestionar colateral. Cada acción puede requerir una firma.

Esa repetición puede hacer que confirmes solicitudes casi por reflejo, bajando la guardia frente a una firma anómala.

Las autorizaciones grandes de USDC son un objetivo principal

En DEX de perpetuos como Hyperliquid, es común que los usuarios otorguen autorizaciones relevantes de USDC a contratos del protocolo. Un atacante puede imitar ese flujo en una página de phishing y reemplazar la dirección del contrato legítimo por una dirección bajo su control.

Si estás acostumbrado a confirmar “autorizaciones de USDC” sin revisar cuidadosamente la dirección del contrato destinatario, podrías terminar dando permiso sobre una parte importante de tus fondos a un atacante.

Por qué las firmas Permit son especialmente peligrosas

EIP-2612 Permit permite autorizar tokens mediante una firma fuera de la cadena, en lugar de una transacción Approve on-chain. Esto implica que:

  • El proceso de firma no genera una transacción visible de inmediato, no consume gas y puede no aparecer como una “autorización enviada” en el historial de tu wallet.
  • Una vez que el atacante obtiene la firma, puede enviar por su cuenta la transacción on-chain para completar la autorización y transferir los tokens desde tu wallet.
  • Desde tu perspectiva, podrías no saber que ya firmaste una autorización válida hasta que los activos se mueven.

Además, una firma Permit puede verse muy parecida a una firma normal de inicio de sesión en una DApp, como Sign-In With Ethereum. Por eso es una de las técnicas Drainer más difíciles de reconocer para usuarios no técnicos.

Anatomía técnica de una firma Drainer

Una solicitud Drainer típica basada en EIP-712 puede incluir campos como estos:

Tipo: firma de datos estructurados EIP-712

Dominio (Domain):
name: [nombre del protocolo suplantado]
version: 1
chainId: 1 o 42161, según la red objetivo
verifyingContract: [dirección del contrato Drainer, disfrazada como contrato del DEX]

Mensaje:
owner: [dirección de la víctima]
spender: [dirección del contrato atacante]
value: [todo o gran parte del balance del usuario]
deadline: [timestamp futuro]
nonce: [nonce actual obtenido automáticamente]

Si tu wallet muestra estos campos en un formato legible, puedes detectar que verifyingContract o spender no coinciden con las direcciones oficiales del protocolo. Pero si la wallet solo muestra datos hexadecimales sin contexto, para la mayoría de los usuarios es casi imposible identificar el riesgo.

Cómo identificar una firma Drainer: checklist práctico

Antes de firmar cualquier solicitud, revisa lo siguiente:

  • Dirección verifyingContract: debe coincidir exactamente con la dirección oficial del contrato del DEX que estás usando, carácter por carácter.
  • Dirección spender: en firmas tipo Permit, el spender debe ser un contrato que reconozcas y en el que confíes.
  • Campo value: verifica si está pidiendo más de lo necesario para la operación, especialmente si se acerca a todo tu balance.
  • Campo deadline: revisa si el plazo es razonable. Una operación normal suele tener una ventana corta, no años de vigencia.
  • Origen de la operación: pregúntate si tú iniciaste esa firma desde el sitio oficial o si apareció de forma inesperada.

Cómo ayuda OneKey contra ataques Drainer

OneKey Wallet incluye funciones diseñadas para reducir el riesgo de ataques Drainer:

  • Visualización de firmas EIP-712: interpreta datos estructurados y muestra campos clave como owner, spender y value en un formato más claro, en lugar de presentar solo datos hexadecimales.
  • Marcado de direcciones de contrato riesgosas: alerta sobre direcciones maliciosas conocidas.
  • Vista previa mediante simulación de transacciones: para operaciones Approve on-chain, simula el resultado antes de firmar y muestra algo como “autorizarás X cantidad de USDC a la dirección Y”.
  • Advertencias por autorizaciones grandes: activa alertas adicionales cuando el monto solicitado supera una proporción relevante de tus tenencias.
  • Verificación con código abierto: los repositorios de OneKey en GitHub permiten que investigadores de seguridad revisen de forma independiente la implementación de estas protecciones.

Una hardware wallet también cumple un papel importante: el atacante no puede automatizar una firma sin que confirmes físicamente en la pantalla del dispositivo. Además, lo que muestra la pantalla del hardware no puede ser alterado por malware en tu computadora.

Dicho eso, una hardware wallet no te protege si confirmas a ciegas una firma que no entiendes. La seguridad sigue dependiendo de que revises el contenido antes de aprobar.

También conviene revisar periódicamente tus autorizaciones históricas en DEX con herramientas como Revoke.cash y revocar permisos que ya no uses. Esto reduce la superficie que un atacante podría explotar.

Vectores conocidos de alto riesgo para ataques Drainer

Los Drainers suelen distribuirse mediante páginas de phishing, anuncios falsos, enlaces en redes sociales, clones de frontends conocidos, supuestos airdrops, paneles de trading falsos o mensajes directos que imitan al soporte de un protocolo.

En el contexto de perpetuos, presta especial atención a enlaces que prometen bonos de trading, campañas de rewards, migraciones urgentes, recuperación de fondos, descuentos en comisiones o acceso anticipado a nuevas funciones. Si el flujo termina pidiéndote una firma que no esperabas, detente y revisa.

Preguntas frecuentes

Q1: ¿Cuál es la diferencia entre una firma Permit y una autorización normal Approve?

Respuesta: Approve es una transacción on-chain, requiere gas y deja un registro visible de la autorización en la cadena. Permit es una firma off-chain: no consume gas en el momento de firmar y la otra parte puede enviarla después a la red. Por eso puede no aparecer como una operación “enviada” desde tu wallet, lo que la hace más difícil de detectar y revocar a tiempo. Ambas pueden representar un riesgo serio para tus activos.

Q2: ¿Qué hago si ya firmé algo sospechoso?

Respuesta: Si fue una autorización tipo Approve, ve de inmediato a Revoke.cash y revoca el permiso. Si fue una firma Permit, revocar puede no servir si la autorización ya fue consumida o puede ejecutarse rápidamente; en ese caso, considera mover los tokens relacionados a una dirección nueva lo antes posible. La velocidad es crítica: a veces la ventana de reacción es de apenas unos minutos.

Q3: ¿Un hardware wallet de OneKey impide por completo los ataques Drainer?

Respuesta: No por completo. Una hardware wallet aumenta mucho la dificultad del ataque porque cada firma debe confirmarse en la pantalla del dispositivo, y esa pantalla no puede ser manipulada por malware en la computadora. Pero si confirmas sin entender lo que estás firmando, el ataque todavía puede tener éxito. El nivel real de protección depende de tu capacidad para revisar cada solicitud.

Q4: ¿Qué es Drainer-as-a-Service?

Respuesta: Es un modelo en el que los kits de ataque Drainer se ofrecen como un servicio comercial. El atacante no necesita desarrollar el código desde cero: se suscribe, despliega campañas contra plataformas objetivo y comparte parte de los fondos robados con el proveedor del kit. Este modelo reduce la barrera técnica y ha contribuido al aumento de este tipo de ataques. Puedes revisar investigaciones de Chainalysis sobre este fenómeno para más contexto.

Q5: ¿Los DEX de perpetuos pueden bloquear estos ataques por sí solos?

Respuesta: Los DEX legítimos suelen filtrar direcciones maliciosas conocidas desde sus frontends oficiales. Pero los atacantes normalmente operan desde páginas de phishing propias, fuera del frontend del protocolo, evitando esas defensas. Por eso la protección a nivel de wallet, como el análisis de firmas de OneKey, es una capa útil en distintos escenarios de acceso.

Conclusión: entender cada firma es parte de operar con seguridad

Los ataques Drainer funcionan porque el usuario confirma una firma sin comprender su alcance. Las herramientas pueden ayudarte a leer mejor lo que estás firmando, pero la defensa final depende de revisar activamente cada solicitud.

Descarga OneKey Wallet y usa sus funciones de análisis de firmas, simulación de transacciones y alertas de autorización para operar con más conciencia de riesgo. Si operas contratos perpetuos descentralizados, OneKey Perps puede integrarse como un flujo práctico para acceder al mercado manteniendo una capa de revisión más clara sobre tus firmas.

Aviso de riesgo: Este artículo es solo educativo y no constituye asesoría financiera, legal ni de seguridad, ni garantiza protección. Las técnicas Drainer evolucionan constantemente y ningún método elimina todos los riesgos. Los activos on-chain robados suelen ser irrecuperables. Opera solo después de entender los riesgos. El trading de criptomonedas implica alta volatilidad, y el trading con apalancamiento puede generar pérdidas superiores al capital inicial.

Asegura tu viaje cripto con OneKey

View details for Comprar OneKeyComprar OneKey

Comprar OneKey

La cartera de hardware más avanzada del mundo.

View details for Descargar aplicaciónDescargar aplicación

Descargar aplicación

Alertas de estafa. Todas las monedas soportadas.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Claridad cripto — a una llamada de distancia.