Resumen de la noticia
La herramienta utiliza EIP-7702 para delegar el control de cuentas comprometidas.
El rescate ocurre en una única transacción, lo que impide a los bots de drenaje.
Las pruebas en Sepolia fueron exitosas, pero los riesgos de front-running aún exigen ajustes.
La red Ethereum se prepara para dar un paso que, hasta hace poco, parecía imposible: permitir que los usuarios recuperen ETH robado por hackers, incluso cuando la cartera ya está totalmente comprometida y monitoreada por bots automáticos.
Esta semana, una propuesta experimental presentada por el desarrollador conocido como Morsy ha abierto la puerta a un nuevo mecanismo de rescate que promete eludir el problema más frustrante al que se enfrentan las víctimas de filtraciones de clave privada, esquemas de phishing, contratos inteligentes fraudulentos, entre otros.
Según Morsy, el problema central se deriva del uso de sweeper bots, programas diseñados para monitorear permanentemente una cartera comprometida. Tan pronto como cualquier cantidad en ETH o tokens llega a la dirección, ya sea por pago de tarifas, recepción de airdrops o desbloqueos automáticos, el bot envía una transacción de retiro con prioridad máxima. Este movimiento impide que el propietario consiga actuar, ya que, para mover cualquier activo, necesitaría pagar gas, exactamente el tipo de acción que activa el drenaje instantáneo.
Morsy explica que “una vez que la clave privada cae en manos del atacante, la cuenta se vuelve prácticamente inutilizable”. Incluso enviar ETH suficiente para pagar la tarifa de red se vuelve inútil, porque el bot reacciona con mayor rapidez que cualquier intento humano. Esto crea una situación paradójica: la cartera puede tener saldo, pero el usuario legítimo no puede tocarlo.
Impedir robos en las carteras
La propuesta anunciada intenta romper este ciclo con un enfoque inédito basado en la EIP-7702, implementada en la actualización Pectra. La norma introdujo una función importante: la capacidad de delegar temporalmente el control de una cuenta externa (EOA) a un contrato inteligente. Esta delegación abre la puerta para que una cartera comprometida sea maniobrada de forma segura, siempre que el proceso ocurra sin depender de transacciones emitidas por ella misma.
El mecanismo funciona de manera coordinada y extremadamente precisa. Antes que nada, el usuario firma offline una autorización que concede a un contrato de recuperación el derecho de actuar en nombre de la cartera comprometida. Como esta firma no pasa por la red, no activa el bot de drenaje. Luego, una segunda cartera, llamada patrocinadora, asume los costos de la operación. Este punto es crucial, ya que cualquier intento de enviar ETH directamente a la cartera vulnerable sería inmediatamente interceptado por los criminales.
Con autorización y recursos garantizados, el contrato de recuperación ejecuta, en una única transacción atómica, todas las etapas necesarias: utiliza el permiso firmado, accede a los fondos disponibles, como tokens, recompensas de airdrops o valores recién desbloqueados, y transfiere todo a una nueva dirección segura. La operación ocurre como un bloque indivisible. Nada se envía paso a paso, y no hay ventanas temporales para que el bot o el hacker intenten interceptar el movimiento.
Según Morsy, esta ejecución atómica es lo que hace posible el rescate. La cartera hackeada, en ningún momento, transmite la transacción; por lo tanto, el bot no detecta ningún evento accionable.
“La operación no da margen para la intervención del atacante”, explicó el desarrollador al presentar el prototipo. Añadió que, incluso en casos extremos de vigilancia continua, la acción unificada evita cualquier disputa por la prioridad del bloque.
Las primeras pruebas, realizadas en la red de pruebas Sepolia, tuvieron éxito. Morsy relató que el proceso exigió innumerables intentos y ajustes, principalmente para lidiar con escenarios donde bots automatizados disputan cada fracción de segundo con transacciones legítimas. Ahora, el desafío pasa a ser el entorno real, donde los bots son más agresivos y las redes congestionadas afectan el tiempo de inclusión de los bloques. El desarrollador reconoce que aún necesita corregir un punto delicado: la posibilidad de front-running de la transacción patrocinada, es decir, la posibilidad de que un tercero intente anticiparla y sabotear el proceso.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
