Una campaña de phishing durante la última semana de mayo de 2026 vació cientos de billeteras EVM al suplantar MetaMask y anunciar una "actualización obligatoria" del sistema para 2026. El investigador on-chain ZachXBT identificó el patrón el 28 de mayo tras rastrear transacciones relacionadas de drenaje en Ethereum, Polygon, Arbitrum y Base. Aunque las pérdidas por billetera fueron menores comparadas con hackeos notorios anteriores, la cantidad de víctimas fue alta y el método de ataque fue particularmente sofisticado.
En promedio, cada billetera afectada perdió sumas en el rango bajo de cinco cifras. El seguimiento de ZachXBT al 30 de mayo estimó que el total extraído supera los 9 millones de dólares en más de 400 direcciones. El método consistió en enviar correos electrónicos o notificaciones push falsas que indicaban que la billetera dejaría de funcionar si no se "validaba" una actualización. Al acceder a la página falsa, se solicitaba conectar la billetera y firmar una transacción, la cual otorgaba aprobación de tokens a un contrato de drenaje. Las billeteras quedaban vacías en segundos.
Cómo funcionó realmente el ataque de phishing
La cadena de ataque constó de cinco pasos muy directos. La víctima recibía un correo o notificación simulando ser de MetaMask, advirtiendo sobre una actualización obligatoria de sistema para 2026 y que, de no hacerlo antes de cierta fecha, la billetera perdería acceso a los fondos. El mensaje incluía un enlace a un dominio que imitaba visualmente a metamask.io, aunque la URL era una variación engañosa (como metamasks-update.com, metamask-validator.io, secure-metamask.app, entre otras).
La página de destino clonaba casi a la perfección el sitio de MetaMask. Invitaba al usuario a "verificar" su billetera mediante un botón que abría el modal de WalletConnect. El usuario firmaba una transacción sin leerla, usualmente un setApprovalForAll de tokens ERC-20, una aprobación de transferencia NFT o una firma permit que daba acceso total al contrato atacante.
Tras la firma, el contrato de drenaje ejecutaba un barrido, transfiriendo todos los tokens de la billetera a una dirección bajo control del atacante. Los fondos se transferían entre cadenas en minutos, se mezclaban en alternativas a Tornado Cash y terminaban en un pequeño grupo de billeteras de destino aún activas.
Factores que hicieron efectiva esta campaña
Tres elementos destacaron en esta campaña respecto a intentos previos. Primero, la calidad de la suplantación: se usaron clones visuales exactos, textos bien escritos y dominios registrados con anticipación, certificados SSL y buena reputación. Segundo, el uso de urgencia legítima: el mensaje de "actualización obligatoria 2026" imitaba comunicaciones genuinas de productos de software, evitando amenazas, regalos o petición de frases semilla; solo pedía validación. Tercero, la cobertura multichain: los contratos de drenaje funcionaban en Ethereum, Polygon, Arbitrum y Base, adaptándose a la cadena donde se encontraba la víctima, a diferencia de campañas previas que solo atacaban Ethereum.
Cómo ZachXBT rastreó el grupo de ataques
El análisis forense siguió un patrón estándar: ZachXBT identificó el contrato de drenaje inicial en Ethereum y rastreó su historial hasta una billetera de financiación, que recibía pequeñas transferencias de gas desde una hot wallet que, a su vez, financiaba los contratos equivalentes en otras cadenas. Esa hot wallet había recibido fondos de un retiro desde un exchange centralizado sin KYC semanas antes del ataque. Sin cooperación judicial, el rastro se estancó ahí. La hipótesis es que una organización de drenaje alquila infraestructura a afiliados de phishing, a cambio de un porcentaje de las ganancias y acceso al pipeline de lavado.
Por qué una hardware wallet habría protegido a la mayoría
Casi todas las víctimas usaban hot wallets: extensiones de navegador MetaMask, apps móviles o custodias software. Una hardware wallet (Ledger o Trezor) conectada a MetaMask exige confirmar físicamente los detalles de la transacción en la pantalla del dispositivo antes de firmar. Así, el usuario puede rechazar una solicitud sospechosa. Esta es la razón clave para optar por custodia hardware: aunque la solicitud llega, el usuario debe autorizarla activamente en una pantalla confiable. La fricción en el proceso es una característica de seguridad.
También hay mitigaciones software. MetaMask y la mayoría de wallets ahora muestran una previsualización de la transacción, alertando sobre permisos de gasto ilimitado. La función viene activada por defecto en versiones recientes. Usuarios con versiones antiguas, o que omitieron la previsualización, fueron los más afectados.
Qué deben hacer los usuarios de EVM esta semana
El manual defensivo es breve y conocido. Lista de comprobación de seguridad cripto: trata cualquier mensaje de "actualización obligatoria" o "validación" recibido por email o notificación como phishing por defecto. Las actualizaciones reales se realizan dentro de la wallet, no desde enlaces externos. Si tienes dudas, escribe la URL oficial directamente en el navegador, no hagas clic en enlaces.
Revoca permisos de tokens no utilizados. La herramienta gratuita Lista de comprobación de seguridad cripto escanea tu wallet y muestra cada aprobación activa. Permisos de protocolos que ya no usas representan una superficie de ataque. Revócalos y establece solo los que realmente necesites. Usa hardware wallet para cualquier dirección con fondos significativos. Si no puedes, al menos utiliza un perfil de navegador separado solo para cripto, sin otras extensiones.
Firma transacciones solo tras leer cuidadosamente lo que se está firmando. Los detalles completos de una firma setApprovalForAll o permit muestran el contrato y el alcance de la aprobación. Si el contrato es desconocido y el permiso es ilimitado, lo más seguro es rechazar.
Preguntas frecuentes
¿Cómo saber si fui víctima?
Revisa el historial de transacciones de tu billetera para detectar aprobaciones o envíos recientes que no reconozcas. La herramienta de aprobaciones de tokens de Etherscan muestra cada permiso activo. Cualquier permiso a un contrato desconocido es señal de alerta. Si detectas un drenaje, probablemente los fondos ya estén lavados, pero aún así reporta el caso a ZachXBT y a las autoridades locales.
¿Por qué MetaMask no bloquea más estos dominios?
MetaMask mantiene una lista de bloqueo de dominios de phishing y agrega nuevos reportados, pero la rotación de dominios de los atacantes es más rápida que las actualizaciones. La lista es solo una defensa parcial.
¿Son más seguras las wallets L2 que las de mainnet?
No. Los contratos de drenaje de esta campaña funcionan en todas las cadenas EVM. L2 puede tener comisiones más bajas, pero el riesgo es idéntico.
¿Mover mis fondos a un exchange centralizado es más seguro?
Depende del modelo de riesgo. Un custodio centralizado de buena reputación con seguro y almacenamiento en frío elimina el riesgo de phishing por autocustodia, pero añade riesgos de contraparte y plataforma. La buena práctica es usar hardware wallet para fondos a largo plazo, hot wallet pequeña para DeFi activo, y custodio confiable para la porción que se intercambia regularmente.
Conclusión
La campaña drenó más de 9 millones de dólares de más de 400 billeteras en una semana. La infraestructura de drenaje sigue activa, los dominios rotan y la calidad de la suplantación es tal que este método seguirá vigente mientras los atacantes no cambien de señuelo. Las defensas recomendadas no son nuevas: hardware wallets, escepticismo ante mensajes de "actualización obligatoria", revocación periódica de permisos y lectura previa de transacciones. Probablemente en las próximas semanas el método se use para suplantar otras wallets populares. Trata cualquier mensaje de "actualización" de billetera como tratarías a alguien desconocido pidiéndote el PIN del banco.
Este artículo es solo informativo y no constituye asesoramiento financiero ni de inversión. El trading de criptomonedas implica riesgos. Investiga antes de tomar decisiones.
