FixedFloat, una bolsa de criptomonedas que opera sin medidas contra el blanqueo de capitales (AML) basadas en el principio de «conozca a su cliente» (KYC), fue pirateada a principios de este mes, lo que provocó la pérdida de más de 400 Bitcoin y más de 1.700 Ethereum, por valor de unos 26 millones de dólares.
La empresa de seguridad de cadenas de bloques BlockFence identificó la dirección de Bitcoin utilizada en el robo, y los datos en cadena de una dirección de Ethereum vinculada revelaron múltiples transacciones de alto valor a varias direcciones.
Según otra empresa de análisis de blockchain, PeckShield, los fondos robados se movieron a través del mezclador de Ethereum eXch poco después del pirateo, lo que complica la trazabilidad de los activos robados. Una pequeña parte de los fondos se movieron a HitBTC y CoinSpot, dijo PeckShield, etiquetando la dirección de la billetera «FixedFloat drainer». «
PeckShieldAlert FixedFloat fue hackeado, resultando en ~1.728 $ETH (por valor de ~$4,85m) y & 409 $BTC (por valor de ~$21m) robados. The drainer already transferred most of the stolen $ETH to eXch on Ethereum pic.twitter.com/IZKbCclH8v
– PeckShieldAlert (@PeckShieldAlert) February 19, 2024
FixedFloat dijo a TCN que el hackeo no fue llevado a cabo por uno de sus empleados y que «fue un ataque externo causado por vulnerabilidades en nuestra estructura de seguridad.»
«El problema estaba en nuestra infraestructura, que se vio comprometida debido a fallos y a una protección insuficiente», dijo la empresa. «Esto permitió a los atacantes acceder a algunas de las funciones de nuestro servicio».
Tras el hackeo, FixedFloat citó inicialmente «problemas técnicos menores» y puso sus sistemas en «modo de mantenimiento». Esto fue antes de que se revelara el alcance total del hackeo, lo que provocó confusión y preocupación entre los usuarios.
«No informamos inmediatamente del hackeo, ya que éramos conscientes del incidente y comenzamos inmediatamente a poner nuestro servicio en modo de mantenimiento para garantizar la seguridad y minimizar las pérdidas», dijo la bolsa a TCN. «En ese momento, nuestro principal objetivo era eliminar rápidamente los puntos débiles y reforzar la seguridad general, lo que nos impidió hacer declaraciones públicas sobre lo sucedido.»
En un comunicado posterior, FixedFloat aseguró a los clientes que sus fondos estaban a salvo, aclarando que las pérdidas financieras sólo afectaban al servicio en sí y no a los activos en poder de los usuarios. «FixedFloat no desempeña las funciones de un servicio de custodia, es decir, no almacena los fondos de los usuarios. Proporcionaremos más información más adelante», tuiteó la plataforma.
Sin embargo, una vez que los informes del hackeo comenzaron a difundirse por las redes sociales, la plataforma confirmó el incidente y se sinceró sobre el ataque.
«Confirmamos que efectivamente hubo un hackeo y robo de fondos», escribió la cuenta oficial de FixedFloat en Twitter en respuesta a un tuit. «No estamos preparados para hacer comentarios públicos sobre este asunto, ya que estamos trabajando para eliminar todas las posibles vulnerabilidades, mejorar la seguridad e investigar».
«Nuestro servicio volverá a estar disponible en breve», continuaba.
Hola,
Confirmamos que efectivamente hubo un hackeo y robo de fondos. Todavía no estamos preparados para hacer comentarios públicos sobre este asunto, ya que estamos trabajando para eliminar todas las posibles vulnerabilidades, mejorar la seguridad e investigar. Nuestro servicio volverá a estar disponible en breve.
Lo haremos…
– FixedFloat⚡️ (@FixedFloat) 18 de febrero de 2024
La casa de cambio aseguró posteriormente que los fondos de los usuarios permanecían seguros y que los fondos robados sólo afectaban a las operaciones internas de la empresa. De ser así, es probable que el hackeo se produjera desde uno de los hot wallets del exchange.
El sitio oficial de FixedFloat sigue inoperativo en el momento de escribir estas líneas.
Imagen: FixedFloat
FixedFloat, que se anuncia como un «intercambio de criptomonedas instantáneo y totalmente automático con Lightning Network», prioriza la privacidad sobre la seguridad, operando sin requerir registro de cuenta o verificación de identidad. Esta falta de medidas KYC es atractiva para los usuarios preocupados por su privacidad, pero plantea riesgos significativos tanto para la plataforma como para sus usuarios en caso de pirateo, ya que los investigadores tienen información limitada con la que trabajar.
Incidentes como este son menos comunes de lo que eran. Un informe reciente de la empresa forense de blockchain Chainalysis destacó una disminución significativa de los fondos robados de las plataformas de criptodivisas en 2023. A pesar de un ligero aumento en los incidentes de piratería informática individuales, el valor total de los fondos robados disminuyó aproximadamente un 54,3% a $ 1,7 mil millones, atribuido en gran parte a una fuerte disminución en los hackeos de DeFi.
FixedFloat informó que está trabajando con agencias policiales, firmas forenses de blockchain e intercambios de criptomonedas para rastrear a los hackers, que aún no se han puesto en contacto con el intercambio. La compañía dijo que cumplirá con todas sus obligaciones de pago tan pronto como reanude sus operaciones y pueda estar segura de que el intercambio vuelve a ser seguro de usar.
