Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 162Compromiso de clave privada

Compromiso de la nube en Mixin Network

$200 M drenados de hot wallets de Mixin Network tras comprometer al proveedor de nube que alojaba su base de datos centralizada — alarma de infraestructura.

Fecha
Víctima
Mixin Network
Cadena(s)
BitcoinEthereum
Estado
Fondos robados

En la madrugada del 23 de septiembre de 2023, la base de datos del proveedor de servicios en la nube de Mixin Network fue vulnerada. Para cuando Mixin pausó las operaciones ese día, los atacantes habían drenado aproximadamente $200 millones de las hot wallets de la red — convirtiéndolo en el mayor incidente cripto de 2023.

Qué ocurrió

Mixin Network se describía a sí mismo como un "libro mayor descentralizado abierto y transparente, contabilizado y mantenido colectivamente por 35 nodos de mainnet". En la práctica, los saldos de usuarios del sistema se rastreaban en una base de datos centralizada alojada con un único proveedor de nube, y las claves privadas que controlaban las hot wallets eran accesibles desde infraestructura que dicho proveedor alojaba.

El atacante comprometió al proveedor de nube — vector exacto nunca divulgado públicamente — obtuvo acceso de lectura a la base de datos relevante, y desde ahí obtuvo autoridad de firma sobre las hot wallets de Mixin en múltiples cadenas. Luego drenaron esas billeteras en un barrido coordinado.

El desglose on-chain:

  • ~$95,3 M en ETH (alrededor del 71% de las tenencias en ETH de Mixin).
  • ~$23,7 M en BTC (~9% de las tenencias).
  • ~$23,6 M en USDT (~93% de las tenencias).

Consecuencias

  • Mixin pausó todos los depósitos y retiros el mismo día.
  • El fundador Feng Xiaodong anunció que la plataforma absorbería hasta $20.000 por usuario en pérdidas; los usuarios afectados con saldos mayores recibirían una mezcla de tokens de deuda y capital representando sus reclamaciones.
  • No se recuperaron fondos públicamente.

Por qué importa

Mixin Network es el ejemplo canónico de un sistema comercializado como descentralizado cuyo perímetro de seguridad era la factura de la nube que pagaba cada mes. El "libro mayor descentralizado" de 35 nodos era real, pero operaba sobre un sistema centralizado de gestión de claves cuyo compromiso fue completo e instantáneo.

La lección — que la descentralización operativa debe extenderse a las dependencias de infraestructura, no solo al consenso — ha impulsado el empuje moderno hacia firma basada en enclaves, criptografía de umbral entre operadores verdaderamente independientes y la separación arquitectónica de la ruta de firma de la ruta de aplicación.

Fuentes y evidencia on-chain

  1. [01]coindesk.comhttps://www.coindesk.com/tech/2023/09/25/mixin-network-losses-nearly-200m-in-hack
  2. [02]elliptic.cohttps://www.elliptic.co/blog/mixin-network-hacked-for-200-million
  3. [03]halborn.comhttps://www.halborn.com/blog/post/explained-the-mixin-network-hack-september-2023

Registros relacionados