Los Exchanges centralizados prefieren la “security through obscurity" (seguridad a través de la oscuridad) en la gestión de los fondos, de esta manera se hace más difícil a los atacantes comprender el funcionamiento de la custodia de los fondos. En este caso lo explicamos mediante la información encontrada en la blockchain y datos recopilados de la documentación/entrevistas/artículos en diferentes Exchanges.
Dirección depositaria:
Al tener una cuenta abierta en un CEX y solicitar una dirección de depósito para enviar nuestras monedas, esta dirección se genera de forma exclusiva para nuestra cuenta, en unos exchanges es de un solo uso y en otros es reutilizable. Una vez realizado el depósito las monedas se transfieren a una de las "Hot Wallets" del CEX.
Hot Wallets (Online):
Los CEX utilizan tanto carteras "calientes" como "frías". Las carteras calientes, conectadas a Internet, representan un pequeño porcentaje de los activos totales pero son vulnerables a ataques. Para mitigar este riesgo las claves privadas de estas carteras se generan y cifran en dispositivos semi-autónomos pertenecientes a tres empleados en diferentes países. Además, se realizan copias de seguridad en cajas de seguridad bancarias en jurisdicciones diferentes. Si surge un problema con uno de los empleados, incluyendo el fallecimiento o la amnesia el exchange utilizará las copias de seguridad en un período de 24 - 48 horas.
El mecanismo de gestión de riesgos supervisa las transacciones y verifica la procedencia de los fondos, utilizando una combinación de almacenamiento en RAM (para eliminar el riesgo de hackeo por almacenamiento de información) y una estructura de multi-firma 2-de-3 para las claves privadas. Los procesos de generación de claves y gestión de transacciones se llevan a cabo de manera semi-autónoma para aumentar la seguridad. Cualquier solicitud de retiro que no pase las verificaciones es pospuesta o cancelada por el CEX, asegurando un nivel adicional de protección para las carteras calientes.
Cartera fría (Offline):
Las carteras frías, que operan sin acceso a internet, brindan protección contra ataques, pero ralentizan los retiros. Aunque los CEX asignan muchos recursos a un sistema de multi-firma semi-autónomo, este no se considera seguro debido a su conexión a internet. Por ello, el mayor porcentaje de los fondos se almacena en carteras frías.
La creación de claves privadas de estas carteras frías sigue un algoritmo específico:
Se generan 10,000 claves privadas y direcciones en un equipo sin conexión a internet;
Se cifran estas claves en otro equipo sin conexión usando AES (Advanced Encryption Standard), estableciendo una contraseña maestra guardada por empleados en diferentes países;
Después, se eliminan las 10,000 claves originales;
La dirección y la clave privada cifrada se presentan como un código QR en el equipo sin conexión. Este código se escanea desde otro equipo para publicar la dirección de la cartera fría y recibir depósitos de las carteras calientes;
El código QR de la clave cifrada se imprime y se guarda en una caja de seguridad bancaria.
El proceso de retiro implica que un empleado escanea el código QR del equipo sin conexión, desencripta las claves en otro equipo y firma la transacción. Posteriormente, la transacción se transmite a la red a través de un dispositivo USB.
Conclusiones:
Desde los tiempos de Mt.Gox, hemos escuchado con regularidad sobre los hackeos de diversos Exchanges centralizados. Por ejemplo, solo en el año 2023, los hackers lograron vulnerar los monederos calientes de CoinEx, Poloniex y HTX.
Estos incidentes son otra confirmación de que no se debe utilizar los (CEX) para almacenar cantidades significativas de criptomonedas a largo plazo. En cambio, sería más apropiado optar por monederos de hardware o soluciones no custodiadas.
Incluso para operaciones a corto plazo, es recomendable elegir una plataforma confiable que invierta recursos sustanciales en seguridad.
Síguenos en las redes para más contenido OnChain diario: https://beacons.ai/onchainschool
Comparte este articulo y suscríbete a la newsletter para no perderte nada.