stacked markets
N

Stacked Markets

Cómo evitar estafas de phishing cripto dirigidas a traders de DEX

Publicado el 31 may 2026 · Por Stacked Markets Research Team

Contenido

  1. Por qué los traders de DEX son objetivos de alto valor
  2. Los siete vectores de phishing activos en 2026
  3. El manual de prevención de nueve reglas
  4. Qué protege la arquitectura de saldo cero y qué no
  5. Preguntas frecuentes

Los traders de DEX perdieron más dinero por phishing y compromiso de claves privadas en 2026 que por errores de contratos inteligentes. No es una predicción, es la realidad actual. Según informes de Chainalysis, el phishing y el robo de claves representan ahora la mayor parte de las pérdidas en DeFi, superando por primera vez a los exploits a nivel de protocolo. El Informe de Ciberdelincuencia Cripto 2026 de Chainalysis sitúa la cifra global en 17.000 millones de USD robados en estafas y fraudes cripto solo en 2025; las estafas de suplantación de identidad aumentaron un 1.400% interanual y los ataques con IA generaron 4,5 veces más ingresos por campaña que los métodos tradicionales.

El hackeo de Bybit en febrero de 2026 (1.500 millones de USD, el mayor robo cripto registrado) comenzó con ingeniería social, no con un exploit de código. El incidente de Drift Protocol en abril de 2026 (285 millones de USD) siguió el mismo patrón: el Grupo Lazarus pasó seis meses construyendo relaciones con miembros del equipo a través de Discord y LinkedIn antes de ejecutar el ataque. Estos no son casos aislados, son el modelo de ataque dominante.

Si practicas la autocustodia y operas con perpetuos en la cadena, tu perfil de riesgo es diferente al de un trader de CEX. No hay restablecimiento de contraseña, ni línea de soporte, ni mecanismo de congelación. La superficie de ataque es tu billetera, la interfaz a la que la conectas y cada firma que apruebas. Este artículo cubre los siete vectores utilizados contra los traders de DEX ahora mismo y los pasos específicos para reducir tu exposición.

Por qué los traders de DEX son objetivos de alto valor

La dirección de tu billetera es pública. Cada posición que has tenido, cada protocolo que has tocado, cada saldo que tienes: todo está en la cadena y puede ser consultado por cualquiera.

Las operaciones industriales de drenaje ejecutan ahora escaneos automatizados de billeteras para identificar objetivos de alto valor antes de establecer contacto. Una auditoría de 2026 de billeteras comprometidas identificó más de 200.000 direcciones que habían sido perfiladas sistemáticamente por servicios de drenaje antes de iniciar cualquier ataque. Esto no es phishing masivo; es ingeniería social dirigida y basada en inteligencia.

La autocustodia significa que no hay intermediario al que llamar. La liquidación en la cadena es definitiva. Aprueba una transacción maliciosa y los fondos salen inmediata y permanentemente. Esa finalidad es precisamente lo que hace que los traders de DEX sean un objetivo valioso.

Los siete vectores de phishing activos en 2026

1. Interfaces falsas y dominios typosquat

Clones perfectos de Hyperliquid, Uniswap y otras interfaces DEX comunes se alojan en dominios typosquat. Se han utilizado anuncios de Google repetidamente para posicionar estos sitios falsos por encima de los resultados orgánicos, un patrón documentado durante 2025 y hasta 2026.

Conectas tu billetera. Ves una interfaz familiar. Apruebas lo que parece una transacción de "habilitar trading". Lo que realmente firmaste fue una aprobación de token ilimitada que drena toda tu billetera.

La única defensa fiable es la barra de URL. Guarda en marcadores el dominio exacto de cada DEX que uses. Nunca navegues a un protocolo a través de un resultado de motor de búsqueda. Nunca hagas clic en un enlace en Telegram o Discord para acceder a una interfaz de trading.

2. Solicitudes de firma maliciosas y firma a ciegas

Este es el vector más peligroso para los traders de DEX. Una firma de billetera es irreversible en el momento en que se confirma.

Los atacantes presentan una solicitud de firma que parece una aprobación de orden estándar. Internamente, es una llamada permit() o setApprovalForAll() que autoriza al drenador a mover cada token en tu billetera. La visualización predeterminada de MetaMask para estas llamadas no siempre es legible, que es exactamente con lo que cuentan los atacantes.

eth_sign es el método de firma de mayor riesgo porque permite firmar datos arbitrarios sin una visualización legible para humanos. Las terminales reputadas usan personal_sign con avisos estructurados y legibles. En Stacked Markets, cada firma de orden muestra los parámetros de límite IOC y el peor precio de ejecución antes de que aparezca la ventana emergente de confirmación de la billetera. No hay firma a ciegas en el flujo de órdenes normal. Esa es una elección de diseño deliberada.

La función de simulación de transacciones de Rabby Wallet te muestra el cambio de estado exacto que activará una firma antes de que confirmes. Si ves aprobaciones de tokens inesperadas en el resultado de la simulación, recházala inmediatamente.

3. Compromiso de Discord y Telegram

El ataque a Drift Protocol es el ejemplo más claro de 2026: el Grupo Lazarus cultivó relaciones con miembros del equipo durante seis meses a través de Discord y LinkedIn antes del exploit real. Para los traders individuales, el ataque es más rápido y directo.

El patrón: publicas en un canal de Discord de un protocolo sobre una transacción fallida. En minutos, una cuenta de "moderador" o "soporte" te envía un DM con un enlace de solución. El nombre de usuario parece oficial: caracteres Unicode de ancho cero o glifos similares imitan nombres reales de moderadores. El enlace lleva a una interfaz falsa.

Otras variantes incluyen anuncios falsos de airdrops en canales comunitarios y DM de alertas de seguridad falsas que afirman que tu billetera ha sido marcada. La regla es simple: ningún moderador o equipo de soporte legítimo te enviará un DM primero. Si alguien lo hace, es una estafa. Bloquea y reporta.

4. Phishing generado por IA y comunicaciones deepfake

El informe de Chainalysis 2026 documenta que las estafas habilitadas por IA son 4,5 veces más rentables que el phishing tradicional. La razón es la especificidad. Un correo de phishing generado por IA puede incluir tu dirección de billetera real, detalles precisos de posición, hashes de transacciones reales de la cadena y un estilo de comunicación que imita perfectamente el protocolo que usas, porque todos esos datos son públicos y rastreables.

Las llamadas de voz deepfake están documentadas. Los atacantes clonan la voz de un miembro conocido del equipo del protocolo o contacto de trading y llaman con una solicitud urgente. La señal de alerta es siempre la urgencia combinada con una solicitud de actuar mediante un enlace externo o aprobar una transacción. Reduce la velocidad. Verifica a través de un canal separado antes de hacer nada.

5. Aplicaciones de billetera falsas y extensiones de navegador maliciosas

En febrero de 2026, el phishing de suplantación de Trezor alcanzó un nuevo nivel: se enviaron cartas físicas a direcciones obtenidas de la brecha de datos de Ledger de 2020 (272.000 registros), instruyendo a los destinatarios a actualizar su firmware a través de una URL falsa. Una brecha de hace años todavía se utiliza para atacar a los propietarios de billeteras de hardware hoy.

Extensiones maliciosas de MetaMask, Rabby y Phantom aparecen regularmente en Chrome Web Store. Tienen reseñas, parecen legítimas y roban claves en el primer uso. Descarga software de billetera solo desde el dominio oficial. Verifica el nombre exacto del editor antes de instalar cualquier extensión de navegador. Si el dominio del editor no coincide exactamente con el sitio oficial de la billetera, no lo instales.

6. Envenenamiento de direcciones

El atacante genera una dirección de billetera que comparte los primeros cuatro a seis y últimos cuatro a seis caracteres con una dirección que usas regularmente: tu dirección de puente de Arbitrum, una dirección de depósito de CEX, una contraparte frecuente.

Envían una pequeña transacción de polvo a tu billetera desde la dirección envenenada, colocándola en tu historial de transacciones. Copias lo que crees que es la dirección familiar del historial. Envías fondos al atacante en su lugar.

Esto es particularmente relevante para los traders de Hyperliquid que retiran USDC a Arbitrum, donde la misma dirección de puente o depósito de intercambio se reutiliza repetidamente. Nunca copies una dirección del historial de transacciones. Usa contactos guardados o nombres ENS. Verifica la dirección completa carácter por carácter en la pantalla de tu billetera de hardware antes de confirmar cualquier retiro.

7. Ataques a la cadena de suministro en dependencias de interfaz

El atacante compromete un paquete npm o biblioteca JavaScript ampliamente utilizada importada por múltiples interfaces DeFi: bibliotecas de conexión de billetera como WalletConnect o Web3Modal son objetivos documentados. Se inyecta código malicioso que intercepta firmas de billetera a nivel de navegador. Estás en una URL completamente legítima. La interfaz se ve y funciona normalmente. El compromiso es invisible.

Como trader individual, tus mejores mitigaciones son: usar una billetera de hardware para toda actividad no trivial (el JavaScript malicioso no puede extraer claves privadas de un dispositivo de hardware), habilitar la simulación de transacciones de Rabby y monitorear las alertas de BlockSec Phalcon para exploits activos.

Stacked Markets nunca almacena claves en el lado del servidor. Si la interfaz fuera comprometida a nivel de dependencia, no hay claves en los servidores de Stacked para robar. Un ataque a la cadena de suministro en la interfaz no puede acceder a fondos más allá de lo que ya has aprobado en la sesión actual. La confirmación de la billetera de hardware añade una segunda capa que el código malicioso no puede eludir.

El manual de prevención de nueve reglas

  1. Guarda en marcadores cada URL de DEX que uses. Nunca navegues a través de un motor de búsqueda. Nunca hagas clic en enlaces en Discord o Telegram para llegar a una interfaz de protocolo.
  2. Simula cada transacción antes de firmar. Rabby Wallet muestra el cambio de estado exacto que activará una firma. Las aprobaciones de tokens inesperadas en el resultado de la simulación significan rechazar inmediatamente.
  3. Revoca aprobaciones después de cada sesión. Usa revoke.cash o el verificador de aprobación de tokens de Etherscan. Las antiguas aprobaciones ilimitadas son la superficie de ataque de menor esfuerzo disponible para cualquier atacante que luego comprometa un protocolo.
  4. Billetera de hardware para toda actividad no trivial en la cadena. Una interfaz maliciosa no puede extraer tu clave privada de un dispositivo de hardware. La pantalla del dispositivo muestra lo que realmente estás firmando, no lo que el navegador quiere que creas que estás firmando.
  5. Separa las billeteras por función. Billetera caliente para trading activo de posiciones pequeñas. Billetera fría para cualquier cosa sustancial. Nunca conectes tu billetera de almacenamiento en frío a ninguna interfaz DeFi.
  6. Ningún moderador de protocolo te enviará un DM primero. El soporte legítimo siempre está en canales públicos. Cualquier DM no solicitado que ofrezca ayuda, un airdrop o una advertencia de seguridad es una estafa. Bloquea y reporta sin interactuar.
  7. Verifica los editores de extensiones antes de instalar. El dominio exacto del desarrollador debe coincidir con el sitio oficial de la billetera. El editor de MetaMask es metamask.io. Ante cualquier discrepancia, no instales.
  8. Nunca apresures una firma. La urgencia es la herramienta principal del atacante. Una orden de protocolo legítima esperará 30 segundos para que leas el aviso de firma cuidadosamente. Si algo te presiona para firmar rápido, esa presión es el ataque.
  9. Verifica la dirección completa, no solo los primeros y últimos caracteres. Verifica en la pantalla de tu billetera de hardware. El envenenamiento de direcciones explota el hábito de la coincidencia parcial, un hábito fácil de romper una vez que sabes que el ataque existe.

Qué protege la arquitectura de saldo cero y qué no

La arquitectura no custodial elimina la plataforma como vector de ataque. No te elimina a ti como uno.

Stacked Markets mantiene cero saldos de usuario y cero claves de firma. Si los servidores de Stacked fueran comprometidos, no hay nada almacenado allí para robar. Tu margen se encuentra en el protocolo en la cadena de Hyperliquid, el mismo protocolo que mantiene aproximadamente 7.300 millones de USD en interés abierto en más de 150 mercados a partir de 2026, con un historial de seguridad independiente.

Contra lo que esto no protege: si conectas tu billetera a un dominio de Stacked Markets suplantado y apruebas una transacción maliciosa, estás firmando desde tu propia billetera. La arquitectura protege contra el robo a nivel de plataforma. No puede protegerte contra la aprobación de algo incorrecto en el sitio incorrecto.

Eso no es una crítica al diseño no custodial. Es una descripción honesta de dónde reside el riesgo restante. El manual de prevención anterior es lo que cierra esa brecha. La arquitectura no custodial y la seguridad operativa personal son necesarias. Ninguna reemplaza a la otra.

Prueba Stacked Markets en testnet: practica el flujo completo de firma antes de operar con fondos reales.

stackedmarkets.com

Preguntas frecuentes

¿Cuál es el ataque de phishing más común en traders de DEX en 2026?

Los dominios de interfaz falsos y las solicitudes de firma de billetera maliciosas son los dos vectores más frecuentes. Los atacantes clonan interfaces DEX en dominios typosquat y usan anuncios de Google para posicionarlos sobre resultados legítimos. Los traders conectan su billetera y aprueban lo que parece una transacción estándar, que en realidad es una aprobación de token ilimitada. El Informe de Ciberdelincuencia Cripto 2026 de Chainalysis identifica el phishing y el compromiso de claves privadas como la mayor categoría de pérdidas en DeFi, por delante de los exploits de contratos inteligentes.

¿Cómo sé si una solicitud de firma de billetera es segura de aprobar?

Lee el aviso de firma completo antes de confirmar. Las firmas de órdenes DEX legítimas muestran parámetros específicos y legibles por humanos: tipo de orden, precio, tamaño, peor ejecución. Si ves una llamada permit(), una llamada setApprovalForAll() o cualquier solicitud para aprobar el gasto de tokens que no iniciaste, recházala. Usa la simulación de transacciones de Rabby Wallet para ver el cambio de estado exacto antes de confirmar. Las aprobaciones de tokens inesperadas en el resultado de la simulación son tu respuesta.

¿Puede un ataque de phishing robar fondos de una billetera de hardware?

Un ataque de phishing no puede extraer la clave privada de una billetera de hardware; la clave nunca sale del dispositivo. Sin embargo, si apruebas una transacción maliciosa en tu billetera de hardware porque no leíste el aviso de firma cuidadosamente, los fondos aún pueden ser robados. La billetera de hardware muestra lo que realmente estás firmando en su propia pantalla, independientemente de lo que muestre el navegador. Verifica siempre en la pantalla del dispositivo, no en el navegador.

¿Qué es el envenenamiento de direcciones y cómo lo evito?

El envenenamiento de direcciones ocurre cuando un atacante genera una dirección de billetera que se parece mucho a una que usas regularmente, luego envía una pequeña transacción de polvo a tu billetera desde esa dirección. Si copias una dirección del historial de transacciones, puedes copiar la dirección del atacante en lugar de la legítima. Evítalo nunca copiando direcciones del historial. Usa contactos guardados, nombres ENS o verifica cada carácter en la pantalla de tu billetera de hardware antes de confirmar.

Si sufro phishing en un DEX, ¿puedo recuperar mis fondos?

En la mayoría de los casos, no. Las transacciones en la cadena son finales. No hay equipo de soporte al cliente, ni mecanismo de devolución de cargo, ni capacidad de congelación. Si aprobaste una aprobación de token maliciosa, revócala inmediatamente usando revoke.cash para evitar un drenaje mayor, pero los fondos ya transferidos se han ido. La velocidad importa: si te das cuenta de que firmaste algo malicioso, revoca la aprobación antes de que el atacante ejecute el drenaje.

¿Cómo reporto una interfaz DEX falsa o un dominio de phishing?

Reporta el dominio a Google Safe Browsing a través de su herramienta de reporte. Reportalo a los canales oficiales del protocolo legítimo para que puedan advertir a su comunidad. Si el dominio está suplantando una billetera o protocolo específico, contacta al equipo de seguridad de ese proyecto directamente a través de su sitio web oficial o GitHub. Los dominios de phishing a veces se eliminan en horas cuando se reportan a través de los canales correctos.

¿Es una terminal no custodial más segura contra el phishing que un CEX?

Depende del tipo de ataque. Para ataques a nivel de plataforma (insolvencia de intercambio, compromiso de servidor, robo interno), la arquitectura no custodial proporciona una ventaja estructural porque no hay fondos que robar a nivel de plataforma. Para el phishing de interfaz y ataques de firma maliciosa, el perfil de riesgo es similar o mayor, porque aprobar una transacción maliciosa en un DEX es irreversible de una manera que una transacción de CEX a menudo no lo es. El trading no custodial traslada la responsabilidad de seguridad a ti. Ese es el compromiso correcto para los traders que desean la autocustodia, pero requiere la disciplina operativa para igualarlo.

Follow us
@stackedmarkets

Resources

All trading involves risk.

Perpetual futures use leverage. You can lose all collateral. Stackedmarkets does not custody funds or hold your main wallet keys. We do not provide investment advice. Nothing here is an offer to buy or sell. Trade only with capital you can afford to lose. Always verify testnet vs mainnet in the product chrome.

Stacked Markets is a decentralized perpetual futures trading platform. All trading activities are conducted on-chain and are subject to blockchain network conditions and smart contract risks.

Trading perpetual futures involves substantial risk of loss and is not suitable for all investors. Past performance is not indicative of future results. The high degree of leverage can work against you as well as for you. Before deciding to trade, you should carefully consider your investment objectives, level of experience, and risk appetite.

The information provided on this platform does not constitute investment advice, financial advice, trading advice, or any other sort of advice, and you should not treat any of the platform's content as such.

stacked markets

© 2026 Stacked Markets. All rights reserved.