Verificador de Estafas de Cripto
¿Te ofrecieron un trato que parece demasiado bueno para ser verdad? Antes de enviar un solo token, pega la dirección de la billetera aquí abajo. La verificaremos contra bases de datos públicas de estafas, detectores de honeypots y datos on-chain — al instante.
Estas herramientas de la comunidad te muestran al instante qué contratos tienen acceso a tu cripto — y te permiten revocarlos.
revoke.cash ↗ debank.com ↗ unrekt.me ↗Conectarse a un sitio malicioso
Wallet drainers y dApps de phishing
Los estafadores crean copias casi perfectas de dApps legítimas — mints falsos de NFTs, reclamaciones falsas de tokens, páginas falsas de airdrop. El sitio parece real. La URL es parecida pero ligeramente diferente (blur-io.xyz en lugar de blur.io). Cuando conectas tu MetaMask y firmas lo que parece una transacción rutinaria, en realidad estás otorgando permiso para vaciar todos los tokens de tu billetera en un solo movimiento.
Estos sitios aparecen como enlaces en mensajes directos de Discord, respuestas en Twitter/X, grupos de Telegram e incluso anuncios pagados. El atacante paga por un anuncio de Google para aparecer encima del sitio real.
Invertir en una estafa conocida
Pig butchering, honeypots y rug pulls
Las estafas de pig butchering construyen confianza durante semanas o meses — un nuevo contacto en una app de citas o redes sociales te va presentando gradualmente una "gran oportunidad de inversión". La dirección de billetera que te envían a menudo ya ha sido reportada. Los tokens honeypot te permiten comprar pero te bloquean para vender — el contrato está programado para atrapar tus fondos mientras el desarrollador vacía el pool de liquidez.
Un rug pull parece un lanzamiento de token legítimo. Los desarrolladores generan hype del proyecto, entra liquidez, luego el equipo retira todo de la noche a la mañana y el token cae a cero.
Robo por aprobación de tokens
Aprobaciones ilimitadas y vaciados silenciosos
Cada vez que haces clic en "Aprobar" en un swap de tokens o un mint de NFT, firmas un mensaje de contrato inteligente que dice "este contrato puede gastar mis tokens". La mayoría de las dApps usan aprobación ilimitada por defecto — pueden tomar todo tu saldo de ese token, en cualquier momento, para siempre, hasta que lo revoques explícitamente. Estos permisos persisten mucho después de que hayas olvidado que el sitio existió.
Una dApp comprometida, un rug pull, o un exploit de día cero puede activar esas aprobaciones en el momento en que se lanza — sin necesidad de una segunda firma de tu parte.
Qué verificamos
🔍 Verificador de dirección de billetera
Bases de datos de estafas conocidas
Cruzado contra la lista negra global de GoPlus Security de billeteras de estafa, phishing y vaciado reportadas.
Detección de honeypot
Verifica si los tokens asociados con esta dirección realmente pueden venderse — o si están diseñados para atrapar tus fondos.
Actividad en la dark web
Señala direcciones con conexiones conocidas a mercados de la dark web y patrones de transacciones ilícitas.
Mixer / Tornado Cash
Detecta el uso de mixers cripto como Tornado Cash — una forma común que usan los estafadores para lavar fondos antes de un rug pull.
Antigüedad de la billetera
Las billeteras nuevas (< 30 días) son una gran señal de alerta. Los estafadores crean direcciones nuevas para cada operación.
Tenencias de tokens
Muestra lo que realmente hay en la billetera. Las billeteras de estafa suelen contener tokens sin valor diseñados para parecer valiosos.
Verificación de sanciones
Verifica contra las listas de sanciones de la OFAC e internacionales para direcciones involucradas en crímenes financieros.
Detección multi-sig
Identifica si la dirección es un contrato multi-sig. Las inversiones legítimas nunca te piden depositar en los suyos.
🌐 Verificador de dApp / sitio web
Lista de bloqueo de MetaMask
Verifica contra la propia lista eth-phishing-detect de MetaMask — más de 198,000 dominios de phishing cripto mantenidos por el equipo de seguridad de MetaMask.
Base de datos de ScamSniffer
La lista de dominios de phishing web3 más grande disponible, con más de 345,000 sitios reportados. Actualizada diariamente por el equipo de seguridad de ScamSniffer.
GoPlus Security
Consulta en tiempo real contra la API de phishing web3 en vivo de GoPlus — el mismo motor usado por MetaMask, Trust Wallet y otras billeteras importantes.
URLScan.io
Busca escaneos previos de investigadores de seguridad del dominio para mostrar cualquier veredicto malicioso de la comunidad global de seguridad.
Feed de OpenPhish
Cruza contra la lista activamente mantenida de OpenPhish de URLs de phishing en vivo actualizada en tiempo real.
Google Safe Browsing
Cuando está configurado, consulta la base de datos de amenazas de Google — uno de los repositorios de URLs de phishing y malware más grandes del mundo.
VirusTotal
Cuando está configurado, verifica la URL contra más de 70 motores antivirus y de seguridad simultáneamente para un veredicto completo.
Atribución, no veredicto
Reportamos lo que dicen las bases de datos de terceros. No declaramos de forma independiente que un sitio sea una estafa. Verifica siempre antes de conectar tu billetera.
¿Está tu billetera conectada a algo que no debería?
Cada vez que conectas MetaMask (o cualquier billetera) a una dApp y apruebas una transacción, le estás otorgando a ese contrato permiso para mover tokens en tu nombre — a veces sin límite de gasto y sin fecha de vencimiento. Estas aprobaciones permanecen activas incluso después de que dejas de usar el sitio. Una dApp comprometida o maliciosa puede vaciar tu billetera meses después usando un permiso que olvidaste que otorgaste.
⚠️ Lo que una aprobación realmente significa
Cuando haces clic en "Aprobar" en un swap de tokens o un mint de NFT, estás firmando una llamada a contrato inteligente que dice "este contrato puede gastar X cantidad de mis tokens". Muchas dApps usan aprobación ilimitada por defecto — lo que significa que pueden tomar todo lo que tienes de ese token, en cualquier momento, para siempre, hasta que lo revoques.
Si esa dApp es explotada después, hace un rug pull, o resulta haber sido maliciosa desde el principio, el atacante puede usar tu aprobación existente para vaciar tu billetera — sin necesidad de una segunda firma.
🔍 Cómo ver y revocar tus aprobaciones
Estas herramientas gratuitas se conectan a tu billetera (solo lectura) y muestran cada aprobación activa en todas las cadenas — luego te permiten revocar las que no reconoces o ya no necesitas.
- revoke.cash Más confiable El estándar de oro. Multi-cadena, muestra aprobaciones ilimitadas vs. limitadas, revocación con un clic. Sin cuenta necesaria.
- debank.com Vista completa del portafolio más una pestaña de aprobaciones. Ideal si también quieres ver tus posiciones DeFi junto con tu exposición al riesgo.
- unrekt.me Simple y rápido. Pega tu dirección (sin necesidad de conectar billetera) para ver aprobaciones en Ethereum y cadenas compatibles con EVM.
Mejores prácticas
Una vez que termines con una dApp, revoca su aprobación. No hay desventaja — puedes volver a aprobarla la próxima vez que la uses.
Al aprobar un swap, algunas billeteras te permiten establecer un monto personalizado. Aprueba siempre solo lo que necesites para esa transacción.
Haz una verificación en revoke.cash cada pocos meses — especialmente después de noticias de un exploit DeFi, ya que los atacantes a menudo apuntan a aprobaciones antiguas.
Antes de hacer clic en Confirmar, expande los detalles de la transacción. Si dice "Ilimitado" junto a una cantidad de token — esa es una señal de alerta que vale la pena pausar.
Preguntas frecuentes y patrones de estafa
¿Qué es el verificador de dApp / sitio web?
Es una herramienta gratuita que toma cualquier URL o dominio y consulta hasta 7 bases de datos de seguridad independientes simultáneamente — incluyendo la propia lista de bloqueo de phishing de MetaMask, ScamSniffer, GoPlus, URLScan.io y OpenPhish. Devuelve un resultado rojo, amarillo o verde según lo que reportan esas bases de datos. No hacemos nuestra propia determinación — mostramos lo que la comunidad de seguridad ya ha señalado.
¿Qué significa un resultado rojo para un sitio web?
Significa que una o más de las bases de datos de seguridad que consultamos ha reportado ese dominio. No significa que nosotros lo estemos llamando una estafa — esa determinación proviene de la base de datos de terceros. Debes tratar un resultado rojo como una advertencia seria, hacer tu propia investigación adicional y no conectar tu billetera hasta estar seguro de que el sitio es legítimo.
¿Qué significa un resultado amarillo?
Amarillo significa que el sitio no está en ninguna lista de bloqueo, pero tampoco tiene poco o ningún historial de escaneos de seguridad — por lo que no hay suficientes datos para dar un certificado de salud limpio. Los sitios nuevos, dominios oscuros o direcciones registradas recientemente a menudo muestran amarillo. Procede con precaución y verifica el sitio a través de canales oficiales antes de conectarte.
¿Puedo confiar en un sitio solo porque muestra verde?
No. Un resultado verde significa que el sitio no ha sido reportado a ninguna de las bases de datos que verificamos — no que sea definitivamente seguro. Los sitios de phishing nuevos tienen unas pocas horas antes de ser añadidos a las listas de bloqueo. Siempre verifica la URL exacta en la barra de tu navegador, busca las cuentas oficiales de redes sociales y nunca conectes una billetera desde un enlace enviado en un mensaje directo o correo electrónico.
¿Cómo funcionan los sitios de wallet drainer?
Un wallet drainer es un sitio web que imita una dApp legítima — un mint falso de NFT, una reclamación falsa de token o un airdrop falso. Cuando conectas tu MetaMask y firmas una transacción, en realidad estás firmando un permiso que le permite al atacante transferir todos los tokens de tu billetera en un solo movimiento. Todo el saldo puede desaparecer en segundos. El sitio a menudo desaparece en pocas horas.
¿Qué es una estafa honeypot?
Un honeypot es un token que puedes comprar pero nunca vender. El estafador lo promociona, compras, el precio parece subir — pero cuando intentas vender, el contrato te bloquea. El estafador luego drena la liquidez y desaparece con tu ETH.
¿Cómo se ve "demasiado bueno para ser verdad" en cripto?
Rendimientos diarios garantizados del 1–10%, "solo pon tus tokens en nuestra billetera", reclamaciones de airdrop que requieren enviar tokens primero, o alguien en mensajes directos ofreciendo duplicar tu cripto. Si el retorno suena imposible en las finanzas tradicionales, es una estafa en cripto.
¿Por qué usaría una billetera Tornado Cash?
Tornado Cash es un mixer que rompe el enlace on-chain entre direcciones de billetera. Aunque algunos usuarios valoran la privacidad, es ampliamente utilizado por estafadores y hackers para ocultar el origen de fondos robados antes de cobrarlos.
¿Debo confiar en una billetera solo porque tiene un saldo grande?
No. Los estafadores a menudo cargan billeteras con tokens sin valor o saldos "de papel" inflados para crear apariencia de legitimidad. Verifica siempre si esos tokens pueden realmente venderse y cuánto valen realmente.
¿Es una billetera nueva siempre sospechosa?
No siempre — pero en el contexto de alguien que ofrece una inversión, una billetera creada en los últimos 30 días es una gran señal de alerta. Los protocolos y negocios legítimos tienen historial on-chain establecido.
¿Qué debo hacer si esta herramienta señala una dirección de billetera?
No envíes fondos. Toma una captura de pantalla de los resultados. Si alguien te presiona para enviar cripto a una dirección señalada, esa presión misma es parte de la estafa. Reporta la dirección en chainabuse.com y retírate.
¿Qué debo hacer si el verificador de dApp señala un sitio web?
No conectes tu billetera. Cierra la pestaña. Encuentra el proyecto oficial a través de una fuente de confianza — su cuenta verificada de Twitter/X o un agregador reconocido como DeFiLlama o CoinGecko. Reporta el sitio a la base de datos de phishing de MetaMask en github.com/MetaMask/eth-phishing-detect.
Los resultados de verificación de billeteras provienen de bases de datos públicas incluyendo GoPlus Security, Etherscan, Alchemy y honeypot.is.
Los resultados de dApp / sitio web provienen de MetaMask eth-phishing-detect, ScamSniffer, GoPlus Security, URLScan.io y OpenPhish.
Todos los hallazgos se reportan desde bases de datos de terceros y no son verificados independientemente por Almstins.
Esta herramienta no constituye asesoramiento financiero ni legal. Haz siempre tu propia investigación.
Una herramienta gratuita de Almstins — rastreador de portafolio cripto y herramienta de contabilidad.