Uno de los sellos distintivos de Web3 es brindar a los usuarios un control total sobre la privacidad y cómo interactúan con sus plataformas. Aprende a administrar aprobaciones y permisos en MetaMask.
Quizás te interese: ¿Cómo mantener segura tu billetera Metamask?
Incluso si tu experiencia al interactuar con las cadenas de bloques como Ethereum se limita a enviar transacciones simples entre billeteras, habrás aprobado, autorizado o firmado algunas transacciones.
Eso simplemente significa que estás confirmando tu envío a la cadena de bloques.
Este mismo proceso se aplica igualmente a la interacción con las dapps en Web3: Hay mucho que consentir, aprobar y permitir. Pero, ¿Qué hay realmente en una aprobación de MetaMask?
Para desglosar esa pregunta, primero debemos cubrir algunos aspectos centrales de la criptografía.
Claves y criptografía: ¿Qué es una aprobación?
Toda la actividad criptográfica se basa en la criptografía de clave pública. Esencialmente, cada billetera tiene una clave pública y una clave privada correspondiente a cada billetera.
Imagina una puerta cerrada con cerrojo, te va a requerir varios pasos antes de abrirla, tendrás que meter la llave, girarla y luego mover la manija para poder entrar. Cada puerta va a tener una llave única.
Si tienes una sola llave no vas a poder acceder a ninguna parte. Vas a necesitar el par de llave y cerrojo exactos para poder acceder.
Aunque es una simplificación excesiva, podemos aceptar el desafío de esa puerta hipotética y aplicar una lógica similar a una billetera criptográfica.
Las claves públicas y privadas son necesarias para realizar las transacciones: La clave privada para que demuestres que iniciaste la transacción y la clave pública para que el destinatario verifique el origen.
Así es como funciona:
- Decides enviar tokens a un contacto.
- Como conoces la dirección de la billetera del destinatario, tienes su clave pública; la primera es simplemente una versión codificada (encriptada) de la segunda. La clave pública se utiliza para cifrar la transacción.
- El destinatario, titular de la clave privada, recibe la transacción. Dado que tus claves permanecen juntas, solo la clave privada correspondiente puede descifrar la transacción enviada por tu clave pública.
Hasta ahora, todo bien. Hemos establecido cómo interactúan los pares de claves públicas y privadas para respaldar las transacciones de blockchain.
Sin embargo, para aplicar este conocimiento a las aprobaciones/firmas, se cambian los roles de las claves: El remitente encripta el mensaje con tu clave privada.
Dado que otros pueden encontrar fácilmente la clave pública del remitente (la dirección de tu billetera) las claves se pueden combinar para descifrar el mensaje, verificando la identidad del remitente.
Solo un par de claves coincidentes revelarán el contenido del mensaje, lo que significa que nadie puede disputar el origen.
Imprimir una especie de firma en cada transacción garantiza la inmutabilidad sin que nadie más que tú, el titular de la clave privada pueda usarlo de manera fraudulenta.
Permisos de las dApps
Los permisos de aprobación te los vas a encontrar al conectar tu billetera a una dapp por primera vez, ya sea DeFi, un servicio como Etherscan o un mercado NFT.
Esto implica otorgar permiso a la dapp para recuperar la dirección de tu billetera y es un requisito previo para interactuar con la plataforma.
En algunos casos, las dapps solicitan que les des permiso automáticamente, otras requieren que hagas clic en botones etiquetados como conectar o similares.
Cuando vayas a dar tu permiso, se abrirá una ventana con el mensaje de que te estas conectando y una afirmación que dirá algo así, con los botones de Cancelar o ACEPTAR en la parte inferior.
“View the addresses of your permitted accounts (required)”.
Aprobación de tokens
Independientemente de que seas un nativo criptográfico experimentado o un principiante absoluto, si quieres interactuar con cualquier contrato inteligente del tipo que ejecuta dApps (incluidos DeFi, juegos de cadena de bloques, compras de NFT) vas a tener que aprobar tu acceso a sus tokens.
La aprobación de token o sello de aprobación lo que estás haciendo aquí es:
- Permitir que el contrato inteligente acceda a tu saldo de criptomonedas: Piensa en esto como la etapa del contrato inteligente. MetaMask indicará claramente en este punto cuánto acceso estás cediendo: Algunos dapps pueden especificar una cantidad finita de tokens, mientras que otros solicitan acceso ilimitado.
- Confirmando que deseas completar una transacción en cuestión: Es decir, la etapa de cadena de bloques donde permites que el contrato inteligente envía la transacción a la red en tu nombre.
Supongamos que deseas realizar un intercambio de tokens mediante el intercambio descentralizado (DEX) de Uniswap.
Cuando inicies un intercambio en un par de clics por primera vez, se te pedirá que apruebes contratos inteligentes para el par de tokens ERC-20 que estás intercambiando (aunque no para ETH en sí, que no necesita aprobación).
Si bien, esto solo ocurre la primera vez que intercambia cada par (de criptos). El siguiente paso, es decir, el paso dos se te requerirá cada vez y significa que los protocolos de Uniswap ejecutarán tu transacción a pedido.
En primer lugar, la plataforma te pedirá que apruebes el token. Haciendo clic en el indicador y MetaMask entrará en acción.
En segundo lugar, MetaMask te mostrará la dirección del contrato del token, confirmando que está solicitando la capacidad de acceder y mover tus fondos.
Para asegurarte de que estás permitiendo el contrato correcto, vale la pena hacer una referencia cruzada de la dirección del token con la que figura en el sitio web de la dapp.
Por lo general, se puede encontrar en su apartado de ayuda, base de conocimientos o documentos. Incluso tienes la opción de especificar hasta dónde deseas que llegue ese permiso; para hacer esto, debes presionar en la opción de editar permisos.
Con esta opción vas a permitir ver con precisión cuánto acceso estás permitiendo y además se te ofrecerá la posibilidad de limitar a un máximo el acceso si es necesario, usando el campo de límite de gasto personalizado.
Con esta función, MetaMask mantiene el control de las aprobaciones de tus tokens: Nunca debes permitir que una dapp acceda a más de lo que deseas, a ciegas, ni asumir riesgos no deseados por probar una nueva plataforma.
La solicitud comercial en sí es donde entra tu par de claves: Firmas la transacción con tu clave privada.
Si das tu consentimiento significa que has autorizado un contrato inteligente de Uniswap para mover ese token hacia y desde tu billetera en tu nombre.
Cada vez que intentes iniciar un intercambio, el contrato inteligente puede verificar tu mensaje. Es decir, la instrucción para realizar el intercambio y verificar que eres tú; La única persona que accede a tu clave privada.
¿Cómo puedes administrar las aprobaciones y los permisos?
Uno de los sellos distintivos de Web3 es brindar a los usuarios un control total sobre la privacidad y cómo interactúan con sus plataformas. El diseño sin custodia de MetaMask es el refleja de eso.
Sin embargo, sus principios se extienden a otras características. La capacidad de ver y administrar dapps y aprobaciones de contratos inteligentes se encuentra entre ellos.
¿Cómo conocer que dApps están conectadas a MetaMask
MetaMask incluye una función nativa para revisar a qué sitios está conectada tu billetera. Se llama sitios conectados. Es tan sencillo como el método para eliminar una dApp conectada a Metamask.
Visualización de aprobaciones de tokens
Etherscan implementó recientemente un verificador de aprobaciones de tokens que te permite ver y revocar las aprobaciones de tokens.
Se muestra una lista de aprobaciones de tokens una vez que te conectas MetaMask y se otorga el permiso a Etherscan para ver tu billetera.
De manera útil, vas a poder revocar la aprobación de transacciones o ver el activo específico involucrado, a quién se ha aprobado (por ejemplo, qué dapp, al que se hace referencia por su nombre) y la cantidad de tokens que has aprobado con dicho acceso.
Existen varias alternativas, entre las que se incluyen aprobado.zone, Revoke y Token Allowance Checker (TAC) .
No te enfades
La agencia personal que implica administrar una billetera sin custodia como MetaMask es un arma de doble filo.
Así como mantener segura tu frase de recuperación secreta es tu responsabilidad personal y requiere vigilancia contra posibles estafadores, eres el único que puede administrar los permisos de las dapps y las aprobaciones de contratos inteligentes.
Si combinas esto con lo fácil que es crear un nuevo token ERC-20 (hay aproximadamente 485,000 tokens en el momento de escribir este artículo) y los riesgos se vuelven muy evidentes.
Si bien, la mayoría de proyectos se realizan de buena fe, cualquier token puede ser creado de forma maliciosa.
Las aprobaciones de tokens son un vector de ataque relativamente común para las estafas. Como se mencionó anteriormente, los dapps deben especificar a cuántos tokens quieren acceder.
MetaMask, por su parte, se asegurará de que esta información se muestre en la pantalla de aprobación antes de que confirmes, brindándote una imagen más clara de exactamente en qué te estás registrando.
Las solicitudes de acceso a dapps pueden variar desde cantidades específicas y limitadas hasta ser completamente ilimitadas, donde el contrato inteligente puede extraer todo lo que quiera de su billetera.
Fundamentalmente, el acceso ilimitado no es un problema ni una señal de alerta en sí mismo: Muchas plataformas acreditadas, como los principales DEX, hacen esto para evitarte el dolor de reaprobar con frecuencia si usas el dapp con regularidad.
El problema viene con las dapps que solicitan acceso ilimitado a tus tokens con la intención expresa de robartelos.
Antes de aprobar el acceso de un contrato inteligente a cualquier cantidad de tokens, debes pasar por una lista de verificación mental para evaluar el riesgo.
A menudo, verás el acrónimo DYOR mencionado en línea: hacer tu propia investigación antes de permitir el acceso y realmente es definitivamente un buen hábito a adoptar.
Por ejemplo, puedes seguir los siguientes pasos:
- ¿Qué tan conocido es el proyecto?
- ¿Cuánto tiempo ha existido?
- ¿Tiene un canal comunitario activo en Discord, Telegram o Twitter?
- ¿Los desarrolladores/propietarios de la dapp son transparentes y accesibles públicamente, por ejemplo, en Twitter o Discord?
- ¿Ha tenido recientemente una brecha de seguridad?
- ¿Se han sometido a una auditoría de contrato inteligente de terceros?
- Verifica la dirección del contrato en el explorador de bloques. Algunos exploradores, como Etherscan, tienen un mecanismo de informes dirigido por el usuario donde se marcan las direcciones fraudulentas (contratos o billeteras). Incluso si no están marcados, verifica si hay actividad sospechosa, como grandes entradas o salidas de efectivo en períodos cortos de tiempo.
Resumen
En lugar de un simple gesto simbólico que indica consentimiento, las aprobaciones de tokens son un aspecto mundano y esencial de la interacción con la Web 3.0. Algunos puntos clave son:
- La criptografía de clave pública se utiliza para autenticar tus permisos al interactuar con las dapps.
- Los permisos de Dapp implican permitir que dapps vean el saldo de tu billetera.
- Las aprobaciones de tokens implican permitir que un contrato inteligente de dapp acceda y mueva un token específico en tu billetera.
- Siempre investiga las credenciales del dapp y asegúrate de que sea confiable antes de aprobar su contrato inteligente.