BitMart - REKT



¿Es CeFi más seguro que DeFi?

BitMart, la autoproclamada “Plataforma Más Confiable del Trading Crypto”, ha perdido ~$196M de dos de sus hot wallets en Ethereum y BSC.

Los activos robados (la mayoría memecoins) suman un total de ~$100M en Ethereum y ~$96M en BSC.

Cuando la noticia comenzó a circular, los admins del grupo Telegram de BitMart descartaron los rumores proclamándolos “fake news”, y señalaron que las preguntas sobre el hack estaban creando “tensiones innecesarias”.

Eventualmente, el CEO de BitMart Sheldon Xia anunció que las retiradas fueron, de hecho, causadas por una “violación de seguridad”, informando los usuarios que “En este momento estamos suspendiendo temporalmente las retiradas hasta próximo aviso.

No obstante, Xia valoró la pérdida total a $150M, -a pesar de que ya se sabía que sumaba ~$196M- misma cifra que BitMart sigue utilizando en su declaración oficial.

Se supone que los CEXs brindan confianza a sus usuarios.

Hace tan solo 3 días, Celsius también perdió $50M de una hot wallet en el ataque front-end de BadgerDAO, también quitando importancia a la pérdida.

Ya que esta última “violación de seguridad” pone a BitMart directamente en el lugar #2 de nuestro leaderboard, una pregunta obvia surge:

Si CeFi no es más seguro, ¿por qué utilizarlo?

El ataque comenzó en Ethereum con esta transacción a las 21:31:09 +UTC por ~$33M de SHIB, empezando una media hora después en BSC con ~$41M de SAFEMOON.

En Ethereum, la wallet afectada, etiquetada Bitmart 2, fue vaciada de la mayoría de sus tokens. El único saldo considerable de un activo restante es ~$40M del token propio de Bitmart, presuntamente por la dificultad de venderlo en el mercado abierto.

La wallet afectada en BSC: 0x8c128dba2cb66399341aa877315be1054be75da8

Lista de pérdidas por token en Ethereum (~$100M).

Lista de pérdidas por token en BSC (~$96M).

El hacker transfirió los fondos de Bitmart de sus hot wallets a las siguientes direcciones:

Ethereum 1: 0x39fb0dcd13945b835d47410ae0de7181d3edf270

Ethereum 2: 0x4bb7d80282f5e0616705d7f832acfc59f89f7091

BSC: 0x25fb126b6c6b5c8ef732b86822fa0f0024e16c61

Desde ahí, las distintas memecoins fueron canjeadas vía 1inch por ETH y BNB antes de ser lavadas vía TornadoCash.

BitMart sigue investigando lo que causó el quiebre de seguridad, y todavía no ha comentado sobre alguna compensación para sus usuarios afectados.

La página de seguridad de su sitio web afirma que <0.5% de sus activos se guardan en hot wallets.

Esto pone los activos totales de BitMart arriba de $39 billones…

Si esta cifra es real, un reembolso completo para los usuarios afectados no debe presentar ningún problema.

Las plataformas centralizadas existen como un intermediario confiable para los que puedan tener sus reservas al interactuar directamente con el mundo crypto.

Los usuarios ceden la custodia de sus activos con la expectativa de que quienes los gestionen sean expertos en la seguridad y las buenas prácticas.

Queda por ver cómo el agresor fue capaz de acceder a las wallets en este caso.

Ojalá no sea otro error básico de OPSEC tipo ceder la aprobación infinita a una EOA, como en el caso de Celsius.

Estos errores son entendibles cuando hablamos de individuos o saldos pequeños. Pero a estas alturas es difícil de perdonar, especialmente cuando CeFi representa el corrupto sistema financiero tradicional aprovechándose de la innovación de DeFi.

Una corporación, registrada en las Islas Caimán, ha perdido casi $200M. Su equipo de comunicaciones primero negó y luego menospreció las pérdidas. Todo esto mientras congelaba las retiradas hasta que salían del ciclo de noticias, cuando el miedo de un “bank run” se había desvanecido.

¿Estos intermediarios merecen sus ganancias?

Y si insisten en llevárselas, ¿al menos se comprometerá BitMart a reembolsar a sus usuarios?

Si disfrutas de nuestro contenido, considera donar a nuestro Gitcoin Grant.


compartir artículo

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.