Cripto: La actualización Pectra de Ethereum podría ser explotada por hackers

Considerada como un avance decisivo hacia la abstracción de cuentas, la actualización Pectra ya está trastornando los equilibrios de seguridad en Ethereum. Introduciendo el estándar EIP-7702, respaldado por Vitalik Buterin, permite a las carteras comportarse temporalmente como contratos inteligentes. Sin embargo, apenas desplegada, esta innovación es desviada a gran escala para automatizar ataques. Lejos de eliminar los riesgos, la evolución del protocolo crea nuevos, más sutiles, que los hackers ya se apresuran a explotar.

Una innovación técnica desviada con fines maliciosos

La nueva actualización de Ethereum, llamada Pectra, fue desplegada en la red y marcó un hito técnico importante, aunque el mercado se mantuvo indiferente ante esta evolución.

Según Wintermute, empresa de trading cuantitativo activa en el ecosistema Ethereum, una de las funcionalidades introducidas, el EIP-7702, ha sido desviada masivamente con fines maliciosos. Esta propuesta permite a las carteras adoptar temporalmente las capacidades de un contrato inteligente, lo que expone a los usuarios a ataques automatizados.

La intención inicial es ofrecer más flexibilidad en las interacciones on-chain, especialmente mediante la gestión de transacciones agrupadas, el patrocinio de tarifas gas, o la integración de sistemas avanzados de autenticación.

Sin embargo, en la red social X (antes Twitter) el 30 de mayo de 2025, Wintermute reveló que «más del 80 % de las delegaciones EIP-7702 han sido autorizadas hacia contratos maliciosos que comparten el mismo bytecode copiado y pegado», y designa a este script con el apodo de «CrimeEnjoyor«.

While EIP-7702 brings new convenience, it also introduces new risks

Our Research team found that over 97% of all EIP-7702 delegations were authorized to multiple contracts using the same exact code. These are sweepers, used to automatically drain incoming ETH from compromised… pic.twitter.com/xHp7zr4hC9

— Wintermute (@wintermute_t) May 30, 2025

Este script rudimentario, pero temiblemente eficaz, usa claves privadas comprometidas para automatizar el vaciado de carteras cripto. Una vez desplegado, aspira los fondos de cualquier dirección vulnerable y los transfiere a los hackers, sin interacción humana.

El análisis publicado en el dashboard Dune de Wintermute muestra que este mismo código es la causa de la mayoría de las delegaciones EIP-7702 actuales. Concretamente, los actores maliciosos:

• Copian el script CrimeEnjoyor en múltiples contratos inteligentes;
• Obtienen o compran claves privadas comprometidas mediante ataques de phishing o malware;
• Usan EIP-7702 para forzar la ejecución automatizada de transacciones agrupadas que vacían las carteras;
• Transfieren los fondos desviados a su propia dirección en una sola operación.

El fenómeno no es anecdótico. Según Scam Sniffer, un usuario perdió cerca de 150 000 dólares en un ataque vinculado a este sistema, a través de una transacción agrupada afiliada al conocido servicio fraudulento Inferno Drainer.

Una falla humana más que un defecto del protocolo

Para muchos expertos en seguridad cripto, el problema no radica tanto en el EIP-7702, una de las principales actualizaciones de Ethereum, sino en el eterno talón de Aquiles de las criptomonedas: la mala gestión de las claves privadas por parte de los inversores.

Taylor Monahan, especialista reconocida en seguridad blockchain, lo expresa sin rodeos: «no es realmente un problema relacionado con el 7702. Es el mismo problema que la cripto ha tenido desde sus inicios: los inversores finales tienen dificultades para asegurar sus claves privadas».

Según la experta, esta nueva función solo hace que los ataques automatizados sean más fluidos y menos costosos de ejecutar, sin ser la causa directa.

Por su parte, la empresa de ciberseguridad SlowMist señala la falta de herramientas pedagógicas adecuadas para esta innovación. En un informe publicado recientemente, la empresa insiste en la necesidad de que los proveedores de wallets destaquen mejor los contratos objetivo cuando un inversor firma una delegación EIP-7702.

«Los proveedores deben adaptar rápidamente sus interfaces y alertar explícitamente a los usuarios», declara Yu Xian, fundador de SlowMist, el 25 de mayo en la plataforma X. También alerta sobre la aceleración de los ataques: «como predijimos, las bandas de phishing nos han alcanzado».

Esta observación destaca una evolución preocupante. Los ciberdelincuentes ahora se apropian de las innovaciones técnicas casi tan rápido como se despliegan.

Más allá de la alerta inmediata, este caso plantea preguntas profundas sobre la capacidad del ecosistema Ethereum para conciliar la innovación rápida con la seguridad de los inversores. Si el EIP-7702 aporta una verdadera flexibilidad técnica, también impone una subida drástica de competencias por parte de los inversores y desarrolladores de herramientas. Sin acompañamiento pedagógico ni salvaguardas UI/UX adecuadas, estos avances podrían abrir la puerta a los hackers y erosionar la confianza en los smart wallets del mañana.