Drenaje de la hot wallet de Bitmart

El 4 de diciembre de 2021, el exchange de criptomonedas Bitmart detectó actividad no autorizada en dos de sus hot wallets. Para cuando las wallets fueron drenadas, 196 millones de dólares se habían movido — aproximadamente $100M de Ethereum y $96M de BNB Chain — en un único barrido coordinado a través de más de 20 tokens diferentes.

Qué ocurrió

El CEO de Bitmart Sheldon Xia confirmó luego públicamente que la brecha fue causada por una clave privada robada que controlaba ambas hot wallets afectadas. El vector de compromiso — ya fuera malware de endpoint, acceso interno o cadena de suministro — no se divulgó públicamente.

El comportamiento del atacante fue de libro de texto: una única autoridad de firma daba acceso a wallets en dos cadenas; el atacante drenó ambas simultáneamente, luego enrutó los fondos a través del agregador DEX 1inch para intercambiar docenas de tokens de long-tail por ETH, antes de enviar los fondos consolidados a Tornado Cash para mezclar.

Los tokens afectados incluían BNB, SafeMoon, Shiba Inu y muchos otros ERC-20s y BEP-20s — en el momento valorados en casi $100M cada uno en las dos cadenas afectadas.

Consecuencias

• Bitmart pausó las retiradas el mismo día y usó reservas corporativas para reembolsar a los clientes afectados.
• Las retiradas se restauraron en la semana siguiente conforme Bitmart rotaba claves y auditaba la infraestructura de wallets.
• Los fondos robados fueron blanqueados a través de Tornado Cash; sin recuperaciones públicas.

Por qué importa

Bitmart es uno de los ejemplos más claros de un problema que se repitió en media docena de exchanges de gama media a lo largo de 2024-2025 (BingX, Phemex, Indodax, BtcTurk): una sola clave de hot wallet con autoridad de firma cross-chain es un único punto de fallo catastrófico. La segregación de claves por cadena y los circuit breakers de velocidad de retirada son ahora condiciones mínimas — pero no lo eran en 2021, y la lección costó $196M aprenderla la primera vez.