Pasos sencillos para proteger su cartera contra riesgos ilimitados de asignación de ERC-20

Participar en el espacio financiero descentralizado a menudo requiere otorgar a los proyectos ciertos permisos para gastar tokens de la propia billetera.

Estos permisos, conocidos como asignaciones ERC-20, ayudan a simplificar los procesos de interacción de contratos inteligentes que permiten a los usuarios enviar fondos a un contrato y al mismo tiempo invocar una función de cambio de estado.

Sin embargo, los actores malintencionados pueden usar esta asignación para drenar fondos de un comerciante desprevenido. Para comprender este vector de riesgo, puede ser importante explicar cómo funciona la autorización de asignación ERC-20.

Al interactuar por primera vez con un nuevo proyecto DeFi, los operadores deben permitir que la aplicación descentralizada gaste fondos, generalmente Ether (ETH) o una moneda estable como Tether (USDT), de su billetera.

Esta asignación es a menudo ilimitada para eliminar la necesidad de pasos de aprobación futuros por parte del comerciante al ejecutar transacciones posteriores. En condiciones normales de funcionamiento, el proyecto DeFi solo gastará la cantidad especificada establecida por el comerciante.

Sin embargo, pueden aparecer condiciones de funcionamiento anormales como se ha visto muchas veces en el espacio DeFi. Los errores de contratos inteligentes como los que experimentó Bancor en junio de 2020 pueden exponer esta vulnerabilidad y drenar fondos de las billeteras de los usuarios.

Durante la manía de DeFi 2020, los actores deshonestos también explotaron esta vulnerabilidad para robar fondos de comerciantes desprevenidos. Un ejemplo fueron los UniCats, donde los propios desarrolladores del proyecto robaron tokens Uniswap (UNI) de sus usuarios.

Una práctica útil que los comerciantes pueden adoptar es revisar las asignaciones existentes en su cartera. Se pueden utilizar plataformas como revoke.cash y Approved.zone para identificar las asignaciones de ERC asociadas con una dirección, así como opciones para revocar o reducir esas asignaciones.

Otro método que se puede utilizar es durante la primera etapa de interacción inicial donde, en lugar de un número ilimitado, los comerciantes pueden seleccionar límites de gasto personalizados en sus carteras de MetaMask al aprobar límites de gasto para nuevos tokens.

Con ERC-20, el estándar de facto para el espacio DeFi, los usuarios aún enfrentarán el riesgo de una asignación ilimitada. Sin embargo, los comerciantes pueden adoptar estas prácticas prácticas para minimizar los peligros asociados con esta vulnerabilidad potencial.