Cientos de billeteras de MetaMask vaciadas: Qué verificar antes de 'actualizar'

El investigador de seguridad on-chain ZachXBT señaló cientos de billeteras en múltiples cadenas EVM siendo drenadas por pequeñas cantidades, típicamente menos de $2,000 por víctima, canalizándose hacia una única dirección sospechosa.

El total del robo superó los $107,000 y siguió aumentando. La causa raíz aún se desconoce, pero los usuarios reportaron haber recibido un correo de phishing disimulado como una actualización obligatoria de MetaMask, completo con un logo de zorro con gorro de fiesta y un asunto de "¡Feliz Año Nuevo!".

Este ataque llegó cuando los desarrolladores estaban de vacaciones, los canales de soporte operaban con equipos mínimos, y los usuarios revisaban bandejas de entrada saturadas con promociones de Año Nuevo.

Los atacantes explotan esa ventana. Las pequeñas cantidades por víctima sugieren que el drenador opera mediante aprobaciones de contratos en lugar de compromiso completo de frase de recuperación en muchos casos, lo que mantiene las pérdidas individuales por debajo del umbral donde las víctimas inmediatamente hacen sonar las alarmas pero permite al atacante escalar a través de cientos de billeteras.

La industria aún está procesando un incidente separado de la extensión del navegador Trust Wallet en el cual código malicioso en la extensión de Chrome v2.68 recolectó claves privadas y drenó al menos $8.5 millones de 2,520 billeteras antes de que Trust Wallet aplicara el parche a v2.69.

Dos exploits diferentes, misma lección: los puntos finales de usuario siguen siendo el eslabón más débil.

Anatomía de un correo de phishing que funciona

El correo de phishing con temática de MetaMask demuestra por qué estos ataques tienen éxito.

La identidad del remitente muestra "MetaLiveChain," un nombre que suena vagamente relacionado con DeFi pero no tiene conexión con MetaMask.

El encabezado del correo contiene un enlace de cancelación de suscripción para "reviews@yotpo.com," revelando que el atacante copió plantillas de campañas de marketing legítimas. El cuerpo presenta el logo del zorro de MetaMask usando un gorro de fiesta, mezclando alegría estacional con urgencia fabricada sobre una "actualización obligatoria."

Esa combinación elude la heurística que la mayoría de los usuarios aplican a las estafas obvias.

La documentación oficial de seguridad de MetaMask establece reglas claras. Los correos de soporte provienen solo de direcciones verificadas, como support@metamask.io, y nunca de dominios de terceros.

El proveedor de la billetera no envía correos no solicitados exigiendo verificación o actualizaciones.

Además, ningún representante pedirá nunca una frase de recuperación secreta. Sin embargo, estos correos funcionan porque explotan la brecha entre lo que los usuarios saben intelectualmente y lo que hacen reflexivamente cuando llega un mensaje de apariencia oficial.

Cuatro señales exponen el phishing antes de que ocurra el daño.

Primero, discordancia marca-remitente, ya que la marca MetaMask de "MetaLiveChain" señala robo de plantilla. Segundo, urgencia fabricada en torno a actualizaciones obligatorias que MetaMask explícitamente dice que no enviará.

Tercero, URLs de destino que no coinciden con los dominios reclamados, pasar el cursor antes de hacer clic revela el objetivo real. Cuarto, solicitudes que violan reglas centrales de la billetera, como pedir frases de recuperación o solicitar firmas en mensajes off-chain opacos.

El caso de ZachXBT demuestra la mecánica del phishing de firma. Las víctimas que hicieron clic en el enlace de actualización falso probablemente firmaron una aprobación de contrato otorgando al drenador permiso para mover tokens.

Esa única firma abrió la puerta al robo continuo a través de múltiples cadenas. El atacante eligió pequeñas cantidades por billetera porque las aprobaciones de contratos a menudo llevan límites de gasto ilimitados por defecto, pero drenar todo desencadenaría investigaciones inmediatas.

Distribuir el robo entre cientos de víctimas a $2,000 cada una pasa desapercibido en el radar individual mientras se acumulan totales de seis cifras.

Revocar aprobaciones y reducir radio de explosión

Una vez que se hace clic en un enlace de phishing o se firma una aprobación maliciosa, la prioridad cambia a la contención. MetaMask ahora permite a los usuarios ver y revocar asignaciones de tokens directamente dentro de MetaMask Portfolio.

Revoke.cash guía a los usuarios a través de un proceso simple: conectar tu billetera, inspeccionar aprobaciones por red, y enviar transacciones de revocación para contratos no confiables.

La página de Token Approvals de Etherscan ofrece la misma funcionalidad para revocación manual de aprobaciones ERC-20, ERC-721 y ERC-1155. Estas herramientas importan porque las víctimas que actúan rápido podrían cortar el acceso del drenador antes de perder todo.

La distinción entre compromiso de aprobación y compromiso de frase de recuperación determina si una billetera puede ser salvada. La guía de seguridad de MetaMask traza una línea dura: si sospechas que tu frase de recuperación secreta ha sido expuesta, deja de usar esa billetera inmediatamente.

Crea una nueva billetera en un dispositivo limpio, transfiere los activos restantes y trata la frase de recuperación original como permanentemente quemada. Revocar aprobaciones ayuda cuando el atacante solo tiene permisos de contrato; si tu frase de recuperación se ha ido, toda la billetera debe ser abandonada.

Chainalysis documentó aproximadamente 158,000 compromisos de billeteras personales afectando al menos a 80,000 personas en 2025, incluso cuando el valor total robado cayó a aproximadamente $713 millones.

Los atacantes golpean más billeteras por cantidades más pequeñas, el patrón que ZachXBT identificó. La implicación práctica: organizar billeteras para limitar el radio de explosión importa tanto como evitar el phishing.

Una sola billetera comprometida no debería significar la pérdida total del portafolio.

Construyendo defensa en profundidad

Los proveedores de billeteras han lanzado características que habrían contenido este ataque si se hubieran adoptado.

MetaMask ahora fomenta establecer límites de gasto en aprobaciones de tokens en lugar de aceptar los permisos "ilimitados" por defecto. Revoke.cash y el panel Shield de De.Fi abogan por tratar las revisiones de aprobación como higiene rutinaria junto con el uso de billeteras de hardware para tenencias a largo plazo.

MetaMask habilita alertas de seguridad de transacciones de Blockaid por defecto, señalando contratos sospechosos antes de que se ejecuten las firmas.

El incidente de la extensión Trust Wallet refuerza la necesidad de defensa en profundidad. Ese exploit evadió las decisiones del usuario, y código malicioso en un listado oficial de Chrome recolectó automáticamente claves.

Los usuarios que segregaron tenencias a través de billeteras de hardware (almacenamiento frío), billeteras de software (transacciones cálidas) y Billeteras descartables (protocolos experimentales) limitaron la exposición.

Ese modelo de tres niveles crea fricción, pero la fricción es el punto. Un correo de phishing que captura una Billetera descartable cuesta cientos o unos pocos miles de dólares. El mismo ataque contra una sola billetera que contiene un portafolio completo cuesta dinero que cambia la vida.

El drenador de ZachXBT tuvo éxito porque apuntó a la costura entre conveniencia y seguridad. La mayoría de los usuarios mantienen todo en una instancia de MetaMask porque administrar múltiples billeteras se siente engorroso.

El atacante apostó que un correo de aspecto profesional en el Día de Año Nuevo atraparía suficientes personas desprevenidas para generar volumen rentable. Esa apuesta dio resultado, con $107,000 y contando.

Lo que está en juego

Este incidente plantea una pregunta más profunda: ¿quién tiene la responsabilidad de la seguridad de punto final en un mundo de autocustodia?

Los proveedores de billeteras construyen herramientas anti-phishing, los investigadores publican informes de amenazas, y los reguladores advierten a los consumidores. Sin embargo, el atacante solo necesitó un correo falso, un logo clonado y un contrato drenador para comprometer cientos de billeteras.

La infraestructura que permite la autocustodia, transacciones sin permisos, direcciones seudónimas y transferencias irreversibles también la hace implacable.

La industria trata esto como un problema de educación: si los usuarios verificaran direcciones de remitente, pasaran el cursor sobre enlaces y revocaran aprobaciones antiguas, los ataques fallarían.

Sin embargo, los datos de Chainalysis sobre 158,000 compromisos sugieren que la educación sola no escala. Los atacantes se adaptan más rápido de lo que los usuarios aprenden. El correo de phishing de MetaMask evolucionó de plantillas crudas de "¡Tu billetera está bloqueada!" a campañas estacionales pulidas.

El exploit de la extensión Trust Wallet demostró que incluso usuarios cuidadosos pueden perder fondos si los canales de distribución se ven comprometidos.

Lo que funciona: billeteras de hardware para tenencias significativas, revocación despiadada de aprobaciones, segregación de billeteras por perfil de riesgo, y escepticismo hacia cualquier mensaje no solicitado de proveedores de billeteras.

Lo que no funciona: asumir que las interfaces de billetera son seguras por defecto, tratar las aprobaciones como decisiones únicas, o consolidar todos los activos en una sola hot wallet por conveniencia. El drenador de ZachXBT será cerrado porque la dirección está marcada, y los exchanges congelarán los depósitos.

Pero otro drenador se lanzará la próxima semana con una plantilla ligeramente diferente y una nueva dirección de contrato.

El ciclo continúa hasta que los usuarios interioricen que la conveniencia de las cripto crea una superficie de ataque que eventualmente es explotada. La elección no es entre seguridad y usabilidad, sino entre fricción ahora y pérdida después.

La publicación Cientos de billeteras de MetaMask drenadas: Qué verificar antes de 'actualizar' apareció primero en CryptoSlate.