El hackeo de Bitcoin a Bitfinex: lo que sabemos (y lo que no sabemos)

Ayer fueron robados más de 60 millones de dólares en Bitcoin de una de las mayores casas de cambio de moneda digital del mundo y, casi 24 horas después, el suceso aún está envuelto en misterio.

Lo que sí está claro es que el impacto es de largo alcance.

El robo de Bitfinex representa la mayor pérdida de bitcoins por parte de un exchange desde el infame Mt Gox de Japón.perdió 744,408 BTCa principios de 2014 (por un valor de 350 millones de dólares), una violación que en última instancia provocaría el cese de sus operaciones.

Al momento de esta publicación, el valor de los 119,756 BTC robados de Bitfinex es de aproximadamente 66 millones de dólares, o aproximadamente el 18% de lo que se perdió en Mt Gox.

Dado el tamaño, el robo ha provocado confusión y frustración entre los comerciantes y observadores del mercado desde que se anunció.

Fuentes cercanas al exchange han evitado en gran medida ofrecer comentarios sobre si los 119,756 BTC robados representan el alcance total del hackeo, y Bitfinex aún no ha publicado ningún hallazgo de su investigación interna en curso.

Esto es lo que sabemos (y lo que no sabemos) hasta ahora:

Lo que sabemos

Las cuentas multi-firma se vieron afectadas

La fuente de la vulnerabilidad parece estar en cómo Bitfinex estructuró sus cuentas y su uso del proveedor de billetera Bitcoin BitGo como una capa adicional de seguridad en las transacciones de los clientes.

Anunciados en 2015, Bitfinex y BitGocreó un sistemamediante el cual se proporcionarían a cada cliente billeteras multi-firma, aquellas en las que las claves se dividen entre varios propietarios para gestionar el riesgo.

La bolsa declaró en su momento:

"La era de combinar los Bitcoin de los clientes y todas las exposiciones de seguridad asociadas ha terminado".

Como se hace referencia en la cita, las empresas buscaron encontrar una alternativa al proceso estándar utilizado por los exchanges en ese momento que veía los fondos de los clientes mezclados en billeteras fuera de línea más grandes y billeteras conectadas o "HOT" utilizadas para satisfacer las demandas de liquidez.

En lugar de ello, cada usuario de Bitfinex tiene su propio conjunto de claves creadas en la plataforma, utilizando un acuerdo de claves 2 de 3 mediante el cual Bitfinex tenía dos de las claves (incluida una fuera de línea) y BitGo usaba la tercera para firmar conjuntamente las transacciones.

Para retirar una cantidad tan grande de fondos, BitGo probablemente habría tenido que aprobar esas transacciones.

Pérdidas significativas de clientes de Bitfinex

Si bien no está claro el alcance total de las pérdidas de clientes a nivel individual, hay señales que indican que un subconjunto significativo de la comunidad de comercio de Bitcoin se vio afectado.

En las horas posteriores a la noticia, los miembros de la comunidad recurrieron a Twitter y Reddit.Para informarque sus cuentas habían sido vaciadas.

Algunos usuarios expresaron su exasperación a pesar de contar con medidas de seguridad como la autenticación de dos factores, en la que se utilizan dispositivos secundarios (como un teléfono móvil) para proporcionar una capa de clave adicional.

Por otro lado, se dice que los fondos transferidos al exchange después del hackeo son seguros, pero el exchange aún no ha publicado detalles sobre cuándo y cómo se gestionarán los retiros.

Los precios de Bitcoin han caído drásticamente

ONE de los impactos más directos del hackeo de Bitfinex se pudo ver en el precio de Bitcoin, que se desplomó después de conocerse la noticia.

Los precios cayeron uncasi el 20%, cayendo hasta los 480 USD antes de recuperarse.

Al momento de publicar este artículo, el precio de Bitcoin es de aproximadamente $552, según el índice de precios Bitcoin USD de CoinDesk , aproximadamente $70 más que el mínimo de ayer.

Bitfinex permanece fuera de línea

Al momento de escribir esto, Bitfinex permanece fuera de línea y su mensaje anunciando el hackeo aún es visible para los usuarios.

Las declaraciones de Bitfines sugieren que la compañía está buscando inicialmente poner el sitio en línea para que los usuarios puedan verificar sus saldos y determinar si sus cuentas han sido vaciadas.

Lo que no sabemos

¿Quién tiene la culpa?

Dada la cantidad de dinero en juego, muchos en la comunidad han estado buscando un chivo expiatorio.

Un objetivo obvio ha sido el propio Bitfinex, que poseía dos de las tres claves privadas necesarias para los fondos perdidos de las cuentas multifirma. Otros han cuestionado si las vulnerabilidades del modelo de BitGo también se expusieron en el incidente.

Ayer, BitGo recurrió a las redes sociales para afirmar que una investigación interna no había encontrado evidencia de unviolación del servidorde su parte.

Sin embargo, a pesar de las garantías, algunos observadores han culpado al servicio de "firmar a ciegas" el retiro de casi 120.000 BTC y se han preguntado por qué no se habían tomado contramedidas potenciales en caso de un movimiento de fondos de ese tamaño.

Con volúmenes de transacciones de 30 días apenas por encima de los 600.000 BTC, el hackeo fue aproximadamente una sexta parte del tamaño de las órdenes mensuales del exchange.

¿Cuándo estarán accesibles los fondos fiduciarios?

Una pregunta recurrente entre los clientes es el estado de los depósitos no denominados en Bitcoin. Desde que se reveló el hackeo, Bitfinex declaró que solo sus tenencias de Bitcoin se vieron afectadas.

Ahora son muchos los clientes que recurren a las redes sociales para preguntar cuándo podrán acceder o retirar esos fondos.

Sin embargo, es posible que pronto lleguen las respuestas. El representante Zane Tackett, quien ha estado respondiendo consultas a través de las redes sociales,Desde que el incidente salió a la luz por primera vez, dijo que habrá más actualizaciones próximamente.

¿Se vieron afectados otros exchanges?

Otros observadores del mercado se QUICK a especular sobre si la interrupción podría provocar complicaciones en otros intercambios que podrían haber estado utilizando Bitfinex como fuente de liquidez.

Se sabe que Bitfinex ofrecía una API y que en ONE momento fue utilizada por los exchanges, aunque los Mercados finales primarios parecían ser los corredores y los comerciantes.

Un problema de este tipo quedó expuesto mediante un ataque a Bitstamp enprincipios de 2015, cuando los intercambios, los comerciantes y los proveedores de cajeros automáticos conectados al intercambio experimentaron una interrupción notable.

Al momento de publicar este artículo, no estaba claro si algunos exchanges más pequeños se vieron afectados, y los exchanges más pequeños contactados por CoinDesk no informaron interrupciones.

Sin embargo, en declaraciones a CoinDesk, los exchanges Kraken y Bitstamp indicaron que sus enfoques para implementar la Tecnología multisig de BitGo diferían de los de Bitfinex.

"Por ahora ya puedo decir que la implementación de la Tecnología MultiSig de BitGo en Bitstamp es fundamentalmente diferente a la de Bitfinex", dijo Vasja Zupan, jefe de desarrollo comercial de Bitstamp, a CoinDesk.

En un correo electrónico, el CEO de Kraken, Jesse Powell, dijo que si bien no podía ofrecer detalles sobre las medidas de seguridad del intercambio, comentó que "confiamos en nuestra configuración" a la luz de la violación de Bitfinex.

¿Está en riesgo el modelo de negocio de BitGo?

Independientemente de si se considera que BitGo tiene la culpa, es posible que esté perdiendo la batalla de la Opinión pública.

Las fuentes sugieren que el modelo de negocio de BitGo se basaba principalmente en cobrar a los clientes empresariales por los servicios, y que los intercambios de Bitcoin eran el principal mercado objetivo de la empresa.

Un importante representante de exchange dijo que el incidente había planteado problemas con el modelo de seguridad multi-firma y que es probable que su implementación se retrase como resultado de la violación.

Sin embargo, las declaraciones de los exchanges sobre la viabilidad de sus propias implementaciones de BitGo sugieren que al menos algunos de los clientes del servicio no buscan hacer ningún cambio, al menos por ahora.

¿Tiene la culpa la CFTC?

A principios de este año, Bitfinex llegó a un acuerdo con la Comisión de Comercio de Futuros de Productos Básicos de Estados Unidos (CFTC) por presuntas violaciones comerciales y pagó una cantidadAcuerdo de $75,000sin admitir ni negar los cargos.

La CFTC declaró entonces que el problema radicaba en cómo la plataforma controlaba las claves privadas de Bitcoin vinculadas a los fondos de los usuarios relacionados con las operaciones financiadas. La agencia opinaba que estos bitcoins no se "entregaron" tras su compra, sino que permanecieron bajo el control de Bitfinex.

Desde el hackeo, algunos críticosseñaló ese idiomaen el acuerdo de la CFTC por crear las condiciones ideales para el robo al prohibir a Bitfinex utilizar almacenamiento en frío para los fondos de los clientes.

Sin embargo, el grupo de defensa Coin Centerpropuso desestimar La afirmación de que la CFTC era la culpable, argumentando que el sistema multi-sig es ONE de varios enfoques de seguridad y, como otros, es propenso a la vulnerabilidad o a fallas.

Los materiales de prensa del año pasado también indican que la relación de Bitfinex con BitGo es anterior a la investigación de la CFTC.

Imagen víaShutterstock

Aviso legal:CoinDesk es una subsidiaria de Digital Currency Group, que tiene una participación accionaria en BitGo.