Compartir
INFORME DE AMENAZA - DRENADOR DE MONEDEROS

Drenadores de delegación EIP-7702: una firma, y tu cuenta entera desaparece

La actualización Pectra de Ethereum dejó que una cuenta normal pudiera "poner código" de forma temporal y actuar como un contrato inteligente. En cuestión de días, los drenadores lo convirtieron en un robo de una sola firma. Firmas una falsa "actualización de billetera" y un bot sweeper se queda con tu cuenta. Una víctima perdió 1,54 millones de dólares en una sola transacción.

SafeBrowz Threat Research Investigación de seguridad14 de junio de 20269 min de lectura

¿Es seguro firmar una actualización EIP-7702?

Veredicto: nunca firmes una petición de "poner código", "delegar", "autorizar" o "actualiza tu billetera" de un sitio que no buscaste tú mismo. EIP-7702 llegó con la actualización Pectra de Ethereum en mayo de 2025. Permite que una cuenta normal (una EOA) delegue su código a un contrato inteligente. Los drenadores lo abusaron casi de inmediato. Wintermute informa de que cerca del 97 % de todas las delegaciones EIP-7702 en mainnet apuntan al mismísimo bytecode de sweeper copiado y pegado, apodado CrimeEnjoyor. Una sola firma entrega tu cuenta entera a ese sweeper, que después reenvía de forma automática todo lo que tengas o recibas hacia el atacante. Una víctima perdió 1,54 millones de dólares en una sola transacción de delegación (Cryptopolitan). Esto no es Permit2: Permit2 aprueba un único token; EIP-7702 entrega toda la cuenta. Un dApp legítimo no necesita delegar tu cuenta a un contrato del que nunca has oído hablar. Revisa tus delegaciones en revoke.cash y lee lo que estás firmando en etherscan.io.

Qué hace EIP-7702 en realidad

EIP-7702 es una función real y legítima de Ethereum. Entró en vigor como parte de la actualización Pectra el 7 de mayo de 2025. Antes de eso, una cuenta de propiedad externa (la que controla una frase semilla) solo podía enviar transacciones simples. EIP-7702 deja que esa cuenta "ponga código" de forma temporal, es decir, que apunte a un contrato inteligente y se comporte como uno durante una transacción o más.

Los usos previstos son buenos. Agrupar una aprobación de token y un swap en un solo clic. Patrocinar el gas de otra persona para que pueda transaccionar sin tener ETH. Dejar que una billetera añada claves de sesión o funciones de recuperación. Revoke.cash incluso lo usa para que canceles decenas de aprobaciones de token en una sola transacción.

El problema es el tamaño del permiso. Cuando autorizas una delegación EIP-7702, no apruebas un token ni un gastador concreto. Le estás diciendo a la red que un contrato habla ahora por tu cuenta entera. Si ese contrato es hostil, no necesita una segunda firma. Ya lo tiene todo.

Cómo vacía una cuenta el sweeper CrimeEnjoyor

Wintermute, un importante creador de mercado en cripto, sigue las delegaciones EIP-7702 en un panel público de Dune. Su conclusión es contundente: la inmensa mayoría de las delegaciones en mainnet, alrededor del 97 %, se resuelven a un único fragmento idéntico de bytecode. La comunidad lo bautizó como CrimeEnjoyor, con clones casi idénticos rastreados como CrimeEnjoyor2 y AdvancedCrimeEnjoyor. Es corto, copiado y pegado, y redesplegado miles de veces.

La lógica es brutalmente simple. En cuanto tu cuenta delega en el sweeper, el contrato vigila la cuenta. Cualquier ETH que aterrice ahí, ya sea de un reembolso, una venta, un amigo o un retiro de un exchange, se reenvía al instante a la dirección del atacante. No hay ventana emergente, ni segunda confirmación, ni oportunidad de reaccionar. La cuenta se convierte en una tubería de paso hacia el ladrón.

Hay dos caminos que llevan a la víctima hasta ahí. En el primero, los atacantes ya tienen una clave privada filtrada o robada por phishing y usan EIP-7702 para plantar el sweeper y así recoger automáticamente cada depósito futuro. En el segundo, que es del que trata este artículo, se engaña a la víctima para que firme ella misma la delegación en un sitio de phishing.

Cómo se ve la página de phishing

La petición de delegación se disfraza de algo útil. Los disfraces habituales en 2026:

  • "Actualiza tu billetera". Una página afirma que tu billetera necesita una actualización puntual a una "cuenta inteligente" para tener comisiones más bajas o funciones nuevas. La "actualización" es la delegación.
  • "Configuración sin gas" o "activa las transacciones en lote". Lo presentan como un interruptor de comodidad. Firma una vez y no vuelvas a pagar gas. Lo que firmas en realidad es una autorización de poner código.
  • "Autoriza al asistente de trading con IA". Un bot falso o un producto de rendimiento te pide que lo "autorices" para que actúe en tu nombre. Y puede, por completo.
  • Un swap falso que mete dentro una delegación oculta. La pérdida de 1,54 M$ vino de una página que imitaba una interfaz de DeFi conocida. La víctima aprobó lo que parecía un swap en lote de rutina. Dentro venían empaquetadas transferencias ocultas y la autorización maliciosa.

Un dominio como uniswap-delegate.com es un ejemplo real de esta clase de estafa. Suplanta a una marca conocida de DeFi en un dominio que no es el oficial y se escanea como PELIGRO. Lo mismo pasa con una imitación de "actualiza tu billetera" del estilo de metamask-delegate.com. (Prueba ambos en el comprobador de abajo.) Las superficies legítimas son uniswap.org, metamask.io y el propio EIP en eips.ethereum.org.

🛡 VERIFICACIÓN EN VIVO

Comprueba un enlace sospechoso ahora mismo

¿Recibiste un enlace de "actualiza tu billetera", "delegar" o "autorizar"? Pulsa un dominio en rojo de arriba o pega tu propia URL sospechosa. Nuestro motor de 3 capas (Local + APIs + IA) devuelve un veredicto en unos 3 segundos. Gratis, sin registro.

Análisis completo con IA profunda → · Ninguna URL se vincula a tu identidad.

Por qué es distinto de una aprobación de Permit2

Quien sigue la seguridad en cripto ya sabe que hay que tener cuidado con las firmas. El reflejo de los últimos dos años es "ojo con Permit2". Ese reflejo es correcto, pero EIP-7702 es una entrega mayor, y tratarlos como lo mismo subestima el peligro.

Una firma Permit2 aprueba a un gastador para tokens concretos. Una firma Permit2 maliciosa deja que el atacante mueva los tokens que aprobaste, lo cual es malo, pero queda acotado a esos tokens. Puedes revocar la aprobación. Los demás activos de la billetera que nunca aprobaste quedan fuera del alcance de esa única firma.

EIP-7702 no tiene esa valla. La delegación no nombra ningún token. Nombra un contrato que pasa a actuar como tu cuenta. Todo lo que la cuenta puede hacer, el sweeper lo puede hacer. Incluidos los depósitos futuros. Por eso el mismo truco de phishing que antes costaba unos pocos tokens aprobados ahora puede costar una billetera entera en un solo clic.

Comprueba exactamente qué estás firmando

Una autorización EIP-7702 no es una transferencia normal y no se parece a un mensaje de Permit2. Entrena tu ojo para estas señales antes de confirmar nada:

  • Las palabras "delegar", "autorizar", "poner código" (set code) o "actualizar". Cualquiera de ellas en un aviso de la billetera o en una página a la que no llegaste tú mismo es una señal de alto.
  • Una transacción de tipo 0x04 (SetCode). Las autorizaciones EIP-7702 viajan en este tipo de transacción. Si tu billetera o el explorador muestran una autorización SetCode / tipo 0x04 que no querías, recházala.
  • Una autorización que nombra la dirección de un contrato, no un token. Una aprobación normal nombra un token y un gastador. Una delegación nombra un contrato que pasará a ser tu cuenta. Si no sabes decir qué es ese contrato, no firmes.
  • El gancho de "puntual" con urgencia. "Actualiza ya", "actívalo antes de que tu billetera quede obsoleta", una cuenta atrás. Las actualizaciones de billetera reales pasan dentro de la app de la billetera, a tu ritmo, nunca en un sitio web cualquiera.

La regla honesta es la más simple: un dApp legítimo no necesita delegar tu cuenta entera a un contrato del que nunca has oído hablar. Los swaps, los minteos y las aprobaciones no lo requieren. Si un sitio insiste en una delegación para "continuar", cierra la pestaña.

Cómo revisar y revocar una delegación que ya firmaste

Muévete rápido y revisa antes de entrar en pánico.

Inspecciona tus delegaciones. Abre revoke.cash y entra en la pestaña de delegaciones de la página de tu cuenta. Te muestra si tu cuenta delega ahora mismo en un contrato y en cuál. También puedes leer las transacciones recientes de tu cuenta en etherscan.io y buscar una autorización SetCode (tipo 0x04) que tú no hiciste.

Revócala. Devolver tu cuenta a la normalidad significa enviar una transacción EIP-7702 que vuelve a delegar en la dirección cero, lo que restablece el código. La mayoría de las billeteras gestionan esto desde dentro de la propia billetera y no desde un dApp externo, así que hazlo desde la interfaz de tu billetera y consulta la guía oficial de tu proveedor de billetera. Hasta que la delegación quede limpia, trata cada depósito futuro a esa cuenta como expuesto.

Si tus fondos ya se movieron, o sospechas que la clave misma quedó comprometida, mueve todo a una billetera nueva. Un sweeper reenvía de forma automática los depósitos nuevos, así que una cuenta delegada no es segura para seguir usándola incluso tras una revocación si tienes dudas. Genera una frase semilla totalmente nueva en un dispositivo limpio y migra lo que quede. Nuestra guía de recuperación de billetera drenada tiene la lista completa de las primeras 24 horas y los 7 días. Desconfía de cualquiera que prometa una "recuperación de fondos" garantizada a cambio de una tarifa, esa es una segunda estafa apilada sobre la primera.

En España, denuncia el sitio fraudulento y el robo ante la Policía Nacional o la Guardia Civil, y consulta a la Oficina de Seguridad del Internauta (osi.es) o llama gratis al INCIBE en el 017. En México, repórtalo a la CONDUSEF y, si hubo un cargo en tarjeta, a la PROFECO. Las denuncias rara vez recuperan cripto ya movida, pero aceleran el cierre de los dominios de phishing.

Por qué el mismo truco sigue funcionando

EIP-7702 es nuevo, y "actualización a cuenta inteligente" suena a algo real porque es algo real. Ese hueco entre una función genuina y una mentira que suena familiar es justo lo que explotan los drenadores. Las operaciones de phishing detrás de esto no son aficionadas: las bandas de drenador como servicio del estilo de Lucifer y los afiliados que se dispersaron tras el cierre de Pink Drainer industrializaron el phishing de firmas mucho antes de Pectra, y le acoplaron EIP-7702 al mismo manual en cuestión de días.

También compran atención. El drenador de Uniswap por anuncios de Google que robó 400 000 $ mostró cómo un anuncio destacado de búsqueda puede poner un sitio de DeFi imitado por encima del real. Cambia la carga útil de una trampa Permit2 a una delegación EIP-7702 y el mismo anuncio manda a las víctimas a un final peor. El hábito defensivo que importa no cambia: llega a los sitios de DeFi desde un marcador, no desde un anuncio, un mensaje directo o un resultado de búsqueda, y lee cada firma.

Cómo SafeBrowz bloquea esta amenaza

SafeBrowz funciona con una arquitectura de detección de 3 capas: Local + APIs + IA. La idea clave para esta estafa es que marcamos la página de phishing que aloja la petición de delegación antes de que tu billetera llegue a abrir la firma. El bloqueo ocurre en el sitio web, no dentro de la transacción.

  • Capa 1 - Detección local: más de 60 patrones de URL y una base de datos de más de 550 marcas se ejecutan en el navegador antes de que la página se cargue. Una página falsa de "actualiza tu billetera" dispara varias señales a la vez: una palabra clave de marca de DeFi o de billetera (Uniswap, MetaMask y otras) en un dominio que no es el oficial, un aviso de "conectar billetera" junto a "actualizar / delegar / autorizar" y hosts parecidos o recién registrados. Un dominio como uniswap-delegate.com se marca en rojo directamente.
  • Capa 2 - Comprobaciones por API: agrega Google Safe Browsing, PhishTank, URLhaus, ScamAdviser y más de 30 listas de TLD de estafa en el servidor. Los dominios nuevos de phishing de delegación aparecen en estos feeds a las pocas horas de salir, y un dominio totalmente nuevo sin historial es por sí mismo una señal ponderada.
  • Capa 3 - Análisis profundo con IA (Premium): el análisis de contenido con IA (a través de nuestro proxy, más de 100 idiomas) atrapa variantes nuevas que ninguna lista de bloqueo tiene aún. Lee la intención de la página, una falsa "actualización a cuenta inteligente", un interruptor de "configuración sin gas", un desajuste de marca en dominio equivocado y, del lado del servidor, un paquete de script drenador ofuscado, y luego devuelve un veredicto de peligro en segundos en lugar de creerse el texto tranquilizador de "actualización puntual" de la página.

Las firmas de detección provienen de investigación de inteligencia de amenazas y de nuestra base de datos interna de marcas, no de los datos de navegación de los usuarios. SafeBrowz no almacena el historial de navegación por usuario.

Bloquea las falsas páginas de delegación de "actualiza tu billetera" antes de firmar

SafeBrowz es una extensión de navegador gratuita para Chrome, Firefox y Edge, con Safari muy pronto. Marca páginas falsas de "actualiza tu billetera", "delegar" y "autorizar" que alojan trampas de delegación EIP-7702, antes de que tu billetera pueda abrir una firma. La capa local cubre más de 550 marcas. El análisis profundo con IA (Premium, 14,99 $ al año) atrapa nuevos dominios de phishing de delegación el mismo día en que aparecen, incluso cuando ninguna lista de bloqueo los tiene aún.

Chrome Añadir a Chrome Firefox Añadir a Firefox Edge Añadir a Edge

Preguntas frecuentes

¿Qué es la estafa de EIP-7702?

EIP-7702 es una función legítima de Ethereum, lanzada en la actualización Pectra en mayo de 2025, que deja que una cuenta normal delegue su código a un contrato inteligente. La estafa te engaña para que firmes una única delegación EIP-7702, disfrazada de "actualización de billetera", "configuración sin gas" o aviso de "autoriza al asistente de IA", que entrega tu cuenta entera a un contrato sweeper controlado por el atacante. Wintermute informa de que cerca del 97 % de las delegaciones EIP-7702 en mainnet apuntan al mismo sweeper copiado y pegado, apodado CrimeEnjoyor, que reenvía de forma automática cualquier fondo que haya o llegue a la cuenta directo al ladrón.

¿Qué es CrimeEnjoyor?

CrimeEnjoyor es el apodo de la comunidad para el contrato sweeper malicioso más reutilizado que abusa de EIP-7702. Wintermute lo identificó en su panel público de Dune: cerca del 97 % de las delegaciones EIP-7702 en mainnet de Ethereum se resuelven a este único bytecode copiado y pegado, redesplegado miles de veces, con clones casi idénticos rastreados como CrimeEnjoyor2 y AdvancedCrimeEnjoyor. En cuanto tu cuenta delega en él, el contrato reenvía al instante cualquier ETH que aterrice en la cuenta hacia el atacante, sin necesidad de más confirmaciones.

¿En qué se diferencia EIP-7702 de un ataque de firma Permit2?

Una firma Permit2 aprueba a un gastador para tokens concretos, así que una firma Permit2 maliciosa queda acotada a los tokens que aprobaste y puedes revocar esa aprobación. Una delegación EIP-7702 es mucho más amplia: no nombra un token, nombra un contrato que pasa a ser tu cuenta entera. Todo lo que la cuenta puede hacer, el sweeper delegado lo puede hacer, incluido drenar depósitos futuros. Permit2 arriesga tokens concretos; EIP-7702 arriesga la cuenta entera en una sola firma.

¿Cómo compruebo si mi billetera tiene una delegación EIP-7702 maliciosa?

Abre revoke.cash y entra en la pestaña de delegaciones de la página de tu cuenta, que muestra si tu cuenta delega ahora mismo en un contrato y en cuál. También puedes abrir tu cuenta en etherscan.io y buscar una autorización SetCode (transacción de tipo 0x04) que tú no hiciste. Si encuentras una delegación que no reconoces, revócala y trata cualquier depósito futuro a esa cuenta como expuesto hasta que quede limpia.

¿Cómo revoco una delegación EIP-7702?

Devolver tu cuenta a la normalidad significa enviar una transacción EIP-7702 que vuelve a delegar en la dirección cero, lo que restablece el código. La mayoría de las billeteras gestionan esto desde dentro de la app de la billetera y no desde un dApp externo, así que hazlo desde la interfaz de tu propia billetera y sigue la guía oficial de tu proveedor de billetera. Si sospechas que tu clave privada fue robada por phishing o que tus fondos ya se movieron, no sigas usando la cuenta: genera una frase semilla totalmente nueva en un dispositivo limpio y mueve todo a una billetera nueva.

¿Algún dApp real me pedirá alguna vez delegar o actualizar mi cuenta entera?

Un dApp legítimo no necesita delegar tu cuenta entera a un contrato del que nunca has oído hablar para hacer un swap, un minteo o una aprobación de token. Las actualizaciones genuinas a cuenta inteligente pasan dentro de la app de tu billetera, a tu ritmo, no en un sitio web cualquiera con un gancho de urgencia. Cualquier sitio que te pida "poner código", "delegar", "autorizar" o "actualizar tu billetera" para continuar debe tratarse como un drenador. Lee cada firma y pega cualquier URL sospechosa en el comprobador de SafeBrowz de esta página antes de firmar.

Última actualización: 14 de junio de 2026

Más cobertura de SafeBrowz