Backend de BigONE comprometido por la cadena de suministro

El 16 de julio de 2025, el exchange de criptomonedas BigONE perdió aproximadamente 27 millones de dólares de su hot wallet — pero en un patrón técnico inusual, no se expusieron claves privadas. En su lugar, los atacantes comprometieron la infraestructura de backend del exchange y reescribieron la lógica de control de riesgo para que los propios sistemas del exchange aprobaran automáticamente cualquier solicitud de retirada que emitieran los atacantes.

Qué ocurrió

Los compromisos tradicionales de exchanges siguen uno de dos patrones:

1. Robo de claves privadas — el atacante obtiene autoridad de firma sobre las wallets y las drena.
2. Robo de API/credenciales — el atacante usa interfaces programáticas autorizadas con derechos de firma totales o parciales.

BigONE no fue ninguno. Los atacantes obtuvieron acceso a la infraestructura backend del exchange (probablemente mediante un compromiso de cadena de suministro de una dependencia, sistema de build o pipeline CI/CD). Desde dentro del backend, modificaron el código que gobernaba la validación de cuentas y la lógica de control de riesgo de BigONE — reemplazando las comprobaciones legítimas de aprobación de retiradas con código que aprobaba automáticamente cualquier solicitud de retirada que coincidiera con criterios controlados por el atacante.

Los sistemas de firma del exchange luego procesaron las retiradas maliciosas a través de la ruta normal de firma, usando las claves privadas legítimas — porque, desde la perspectiva del sistema de firma, las retiradas habían sido debidamente autorizadas por la (comprometida) lógica de control de riesgo.

Total drenado: ~$27M en múltiples cadenas, antes de que BigONE detectara la anomalía y cerrara las retiradas.

Consecuencias

• BigONE cubrió todas las pérdidas de clientes desde su fondo de reserva de seguros.
• Programa de recompensas anunciado: hasta $8 millones en recompensas por ayuda para identificar a los atacantes o recuperar fondos.
• El exchange pausó las retiradas mientras restauraba la integridad del backend y re-auditaba la infraestructura.
• Sin atribución pública a un actor de amenaza específico; el patrón de cadena de suministro coincide con varias operaciones recientes dirigidas a proveedores de infraestructura de exchanges.

Por qué importa

El incidente de BigONE es uno de los casos más claros de por qué el código backend es parte de la frontera de confianza de custodia. Las claves de firma de un exchange pueden estar en almacenamiento en frío; sus HSMs pueden estar perfectamente configurados; sus claves API pueden tener estrictos límites de velocidad — y todas esas protecciones pueden ser eludidas reescribiendo el código que decide qué acciones de firma autorizar.

La lección estructural, cada vez más central a la seguridad de exchanges en 2025:

• Los controles de integridad de código (despliegues firmados, verificación criptográfica de binarios en ejecución, infraestructura inmutable) son tan importantes como los controles de gestión de claves.
• Los cambios privilegiados de código backend deben estar sujetos a la misma disciplina de aprobación que las operaciones de wallet — revisión multi-parte, verificación fuera de banda, trails de auditoría.
• El riesgo de cadena de suministro se extiende más allá de las relaciones explícitas con proveedores a cada dependencia, herramienta de build y entorno de desarrollador que toca código de producción.

La respuesta de BigONE — fondo de seguros + recompensa + política de cliente resarcido — es lo que la industria ha asumido como la respuesta mínima creíble a un compromiso importante de exchange. La lección a nivel de clase de activo: la confianza en un exchange es, en 2025, una función de cómo responde a incidentes como este, más que de si los tiene.