system online · no logs · no tracking · no kyc tor: v3 ready
[never]kyc
login sign up →
root@neverkyc:/blog/fixedfloat-seguro-hack-2024-analisis$ cat post.md

¿Es FixedFloat seguro tras el hack de 2024?

// by ~anon · 2026-05-30 · mock,auto-generated,es

¿Es FixedFloat seguro tras el hack de 2024?

El 16 de febrero de 2024, FixedFloat —uno de los exchanges instantáneos sin KYC más populares del mercado— amaneció con una billetera que se vaciaba a ojos vista. Cuando el equipo logró pausar la plataforma horas más tarde, los atacantes ya habían sustraído aproximadamente 1.728 BTC y 409 ETH, un botín valorado en unos 26 millones de dólares al cambio de aquel día. Para un exchange cuya propuesta entera giraba en torno a "intercambia rápido, intercambia en privado, sin cuenta", la brecha se convirtió en un problema de marca existencial. Dos años después, los traders siguen formulando la pregunta obvia antes de hacer clic en "intercambiar": ¿es FixedFloat realmente seguro de usar hoy, o la plataforma es una bomba de relojería? Esta guía repasa qué ocurrió de verdad en febrero de 2024, qué cambió FixedFloat después, cómo se compara su modelo de custodia con alternativas más sólidas como MoneroSwapper y qué señales concretas debes buscar antes de confiar tu Monero o tu Bitcoin a cualquier servicio de swap no custodial.

Qué ocurrió realmente el 16 de febrero de 2024

FixedFloat se posiciona como un "exchange automatizado de criptomonedas" que permite a los usuarios intercambiar entre unos cincuenta activos sin necesidad de registro. El modelo es simple: eliges la moneda de entrada y la de salida, envías los fondos a una dirección de depósito de un solo uso y la plataforma encamina la operación a través de su propia liquidez, devolviendo la moneda intercambiada a la dirección de retiro que indicaste. Para que los intercambios sean instantáneos, FixedFloat —al igual que ChangeNow, SimpleSwap y la mayoría de sus rivales— mantiene billeteras calientes prefinanciadas en cada cadena soportada. Esas billeteras calientes son exactamente lo que los atacantes consiguieron alcanzar.

El post-mortem oficial publicado por FixedFloat describió el incidente como resultado de "vulnerabilidades en las estructuras de seguridad", sin nombrar el exploit concreto. Los analistas on-chain de Arkham, ZachXBT y SlowMist rastrearon los patrones de salida y concluyeron que el atacante vació dos billeteras calientes segregadas en sucesión rápida, lo que apunta más a una clave de firma comprometida o a un acceso interno de alto nivel que a una vulnerabilidad de contrato inteligente. Los fondos robados se blanquearon a través de eXch —el mezclador ya extinto— y de una cadena de direcciones intermedias de Bitcoin, con parte del ETH puenteado posteriormente vía THORChain.

  • Pérdida total: aproximadamente 1.728 BTC y 409 ETH, unos 26 millones de dólares el día de la brecha.
  • Tiempo de inactividad: FixedFloat mostró un banner de mantenimiento durante varios días antes de reanudar parcialmente los intercambios.
  • Fondos de usuarios afectados: el equipo ha sostenido de forma consistente que ningún saldo individual se perdió, porque la plataforma es no custodial en el sentido de que mantiene liquidez, no depósitos —un matiz que desmenuzamos más abajo.
  • Sin atribución pública: a mediados de 2026, ni el atacante ni la vulnerabilidad exacta han sido nombrados públicamente.

Por qué "no custodial" no significa "seguro" en FixedFloat

FixedFloat se promociona como no custodial y, técnicamente, la descripción es correcta: cuando inicias un intercambio, la plataforma no te pide depositar fondos por adelantado ni almacena un saldo a tu nombre. Envías monedas para exactamente un intercambio y las monedas convertidas viajan directamente a tu dirección de retiro. No hay cuenta de usuario, no hay un saldo recuperable y —en teoría— no existe ningún honeypot que un atacante pueda vaciar a nivel de usuario.

Esa descripción, sin embargo, esconde dónde se concentra realmente el riesgo. FixedFloat es no custodial desde la perspectiva de los saldos a largo plazo, pero es plenamente custodial durante el propio intercambio. En el momento en que tu Bitcoin llega a la dirección de depósito que la plataforma generó para ti, FixedFloat lo controla hasta que la salida correspondiente se envía de vuelta. Si las billeteras calientes de la plataforma se vacían —que es exactamente lo que pasó en 2024—, cualquier swap en curso queda expuesto a quedarse permanentemente atascado, a recibir un reembolso con retraso o, en el peor escenario, a perderse.

La ventana de exposición de la hot wallet

Todo exchange instantáneo tiene una ventana de exposición de la hot wallet medida en minutos. En FixedFloat, esa ventana abarca todo el tiempo de transacción que va desde la confirmación de tu depósito hasta el momento en que se emite la transacción de salida. Durante ese intervalo, el depósito que enviaste y la liquidez de salida que la plataforma está a punto de remitirte permanecen en direcciones controladas por la infraestructura de firma interna de FixedFloat. Una brecha en ese intervalo —como la de febrero de 2024— afecta directamente a los intercambios en curso.

La diferencia estructural frente a un atomic swap real

Un atomic swap auténtico, en cambio, utiliza contratos con bloqueo temporal y hash (HTLC) de forma que las dos patas del intercambio o se ejecutan ambas o se reembolsan ambas: no existe un instante intermedio en el que una parte centralizada controle los dos lados a la vez. Herramientas como COMIT, BasicSwap y Haveno aplican este principio a los intercambios Bitcoin–Monero. FixedFloat no es un atomic swap. Es un servicio centralizado de emparejamiento disfrazado con etiqueta no custodial, lo cual está bien cuando no pasa nada y resulta desastroso en cuanto el operador queda comprometido.

FixedFloat frente a sus alternativas: foto de 2026

La pregunta "¿es FixedFloat seguro?" solo tiene sentido si se compara con las otras opciones sobre la mesa. A continuación, una comparativa lado a lado de cómo se sitúa FixedFloat frente a las alternativas que los traders mencionan con más frecuencia en 2026, con especial atención a los flujos amigables con Monero.

Servicio Modelo de custodia durante el swap Detonante de KYC Brechas conocidas Calidad del par con Monero
FixedFloat Custodial durante el swap; no custodial entre operaciones Basado en riesgo; puede solicitar KYC en transacciones marcadas Febrero de 2024, ~26 M USD Buena liquidez, tarifas fija y flotante
MoneroSwapper Routing agregado entre varios proveedores; sin hot wallet centralizada bajo una sola clave Sin KYC obligatorio; el routing descarta a los proveedores que lo exigen Ninguna reportada Optimizado específicamente para pares XMR
SimpleSwap Custodial durante el swap Comprobaciones AML basadas en riesgo Sin brecha pública relevante Buena, múltiples opciones de entrada
Haveno (DEX P2P) Multisig 2 de 2 real; sin custodia del operador Ninguno; íntegramente P2P sobre Tor No aplica Privacidad excelente, liquidez menor
Exchange centralizado con KYC Custodia total hasta la retirada Subida de documento de identidad obligatoria Muchas a lo largo de la última década Variable; muchos delistearon XMR a partir de 2024

Dos patrones saltan a la vista. Primero, las únicas opciones sin custodia del operador en ningún punto son las herramientas de atomic swap entre pares, y vienen con su correspondiente compromiso de liquidez y complejidad. Segundo, el routing por agregador —el modelo que usa MoneroSwapper— reduce la exposición a una sola plataforma al repartir los swaps entre varios proveedores, lo que significa que una hot wallet comprometida en cualquier backend concreto no afecta automáticamente a todas las rutas disponibles.

Si lo único que separa tu Bitcoin de un atacante es la clave de firma de la hot wallet de una sola empresa, estás confiando en esa empresa exactamente igual que confiarías en un exchange custodial, por mucho que la página de marketing diga lo contrario.

Contexto regional: por qué este caso importa al mundo hispanohablante

El hack de FixedFloat tuvo un eco particular entre los traders hispanohablantes por varias razones. En España, donde la AEAT viene exigiendo desde 2024 declarar tenencias de criptoactivos en el modelo 721 y donde MiCA entró en vigor de forma escalonada, los exchanges sin KYC son uno de los pocos caminos que evitan dejar un rastro fiscal automático en cada conversión. En Argentina, Venezuela y Cuba, donde el control de cambios convierte a las stablecoins y a Monero en herramientas básicas de preservación de valor, los swaps instantáneos funcionan de hecho como cajeros paralelos. Y en México y Colombia, donde la CNBV y la URF han apretado los requisitos de identificación para los proveedores regulados, los exchanges instantáneos ocupan un nicho cada vez más importante para quienes quieren mover importes pequeños sin abrir cuenta en una casa de cambio.

Para todos estos perfiles, la lección del hack no es "deja de usar swaps instantáneos" sino entender exactamente qué se rompe cuando el operador es vulnerado: una billetera caliente bajo una sola clave que sirve de puente entre cientos de pares de monedas distintos. Esa es una concentración de riesgo idéntica a la de un exchange centralizado clásico, aunque la marca diga "no custodial".

Cómo evaluar cualquier swap instantáneo antes de enviar fondos

La brecha de FixedFloat en 2024 es un caso de estudio útil precisamente porque las señales de alerta no eran exclusivas de FixedFloat: aplican a todo exchange instantáneo que opere con hot wallets agrupadas. La siguiente lista de comprobación es la misma que usan los traders profesionales y los moderadores de la comunidad Monero cuando evalúan un servicio por primera vez.

  1. Lee el post-mortem real. Si una plataforma ha sufrido una brecha, busca el informe técnico público. El lenguaje vago ("vulnerabilidades en las estructuras de seguridad") es bandera roja; la mención específica de la vulnerabilidad, del parche y de cualquier auditoría externa posterior es bandera verde.
  2. Revisa las reservas on-chain cuando sea posible. Algunas plataformas publican prueba de reservas o exponen las direcciones de hot wallet; si una billetera no ha sido recargada desde una brecha, esa es una señal con peso.
  3. Busca la plataforma en los feeds de ZachXBT, SlowMist y PeckShield. Las menciones recurrentes por retiros retrasados o transacciones atascadas son luces de aviso incluso cuando no se ha producido brecha pública.
  4. Prueba primero con una cantidad pequeña. Un swap de 30 USD saca a la luz los problemas de UX, los flujos de reembolso y los tiempos de respuesta del soporte antes de que comprometas nada relevante.
  5. Prefiere agregadores o rutas P2P para importes mayores. Repartir un intercambio entre varios proveedores vía un agregador como MoneroSwapper, o usar un atomic swap real para la pata de alto valor, reduce la exposición a un único punto de fallo.
  6. Consulta la política de reembolsos por escrito. ¿Qué pasa si la transacción de salida no llega dentro del SLA? ¿Hay una dirección de reembolso que puedas indicar de antemano? Las plataformas que esconden esto en tickets de soporte en lugar de en los términos del servicio suelen tener procedimientos más débiles.

Qué cambió FixedFloat tras la brecha

Desde febrero de 2024, FixedFloat ha declarado públicamente que reconstruyó su infraestructura de firma, rotó todas las claves de las hot wallets y segmentó la liquidez entre más billeteras aisladas para limitar el radio de impacto de futuros incidentes. La plataforma también añadió un sistema de monitorización basado en tasas, diseñado para marcar salidas anómalas y pausar retiros de forma automática. Son medidas sensatas y la mayoría de los usuarios que han seguido empleando FixedFloat entre 2024 y 2026 declaran no haber tenido incidencias recurrentes.

Dicho esto, la plataforma no ha publicado una auditoría externa completa de su arquitectura tras el incidente, no ha nombrado la vulnerabilidad original y no ha introducido ningún cambio relevante en el modelo "custodial durante el swap" que hizo la brecha tan dañina. Desde el punto de vista estructural, la superficie de ataque de 2024 sigue existiendo; lo que ha cambiado es el endurecimiento operativo a su alrededor. Para los traders cómodos con ese compromiso, FixedFloat en 2026 probablemente no es más arriesgado de lo que era antes de la brecha. Para los traders que buscan garantías más fuertes, la ausencia estructural de custodia por parte del operador —proporcionada por agregadores que enrutan entre varios backends o por DEX de atomic swap— es una respuesta más duradera que la promesa de una sola plataforma de hacerlo mejor la próxima vez.

Preguntas frecuentes

¿Perdieron dinero los usuarios de FixedFloat en el hack de 2024?

FixedFloat declaró públicamente que los saldos del lado del usuario no se vieron afectados, ya que la plataforma no mantiene saldos a largo plazo para cuentas individuales. Los aproximadamente 26 millones de dólares robados procedían de la liquidez operativa de la propia plataforma. Sin embargo, algunos usuarios con swaps en curso en el momento de la brecha denunciaron reembolsos retrasados y varios hilos de la comunidad describen transacciones que finalmente sí requirieron intervención manual del soporte para resolverse. La plataforma no anunció ningún programa de reembolso porque, sobre el papel, no faltaba ningún fondo de usuario concreto.

¿Ha vuelto a ser hackeado FixedFloat desde febrero de 2024?

A mediados de 2026, no hay brechas confirmadas públicamente en FixedFloat desde el incidente original de febrero de 2024. El equipo rotó claves, reestructuró la topología de las hot wallets y añadió monitorización. La ausencia de nuevos incidentes públicos es alentadora, pero no demuestra que la arquitectura sea segura: solo significa que no se ha hecho público ningún ataque exitoso.

¿Es FixedFloat libre de KYC para intercambiar a Monero?

FixedFloat no exige crear cuenta ni hacer KYC por adelantado para los swaps estándar. Sin embargo, la plataforma se reserva el derecho de solicitar identificación en las transacciones que su sistema AML marca como de riesgo elevado, lo que a veces se activa con volúmenes grandes relacionados con XMR o cuando la dirección de depósito presenta historial on-chain manchado. Los usuarios que quieren una vía estructuralmente libre de KYC suelen preferir un agregador que descarta proveedores con disparadores duros de KYC, o un DEX P2P como Haveno donde ningún operador puede solicitar identificación en absoluto.

¿Cuál es una alternativa más segura para los swaps de Bitcoin a Monero?

Las dos categorías estructuralmente más seguras son los enrutadores agregadores y los DEX de atomic swap. Los agregadores como MoneroSwapper distribuyen las operaciones entre varios proveedores backend, de modo que una brecha en cualquiera de ellos no afecta a todas las rutas. Los DEX de atomic swap utilizan contratos con bloqueo temporal y hash, así que ningún operador llega a sostener ambas patas del intercambio. Para la mayoría de los usuarios, un agregador es la opción más práctica; para importes muy grandes o casos de uso de privacidad máxima, una ruta de atomic swap merece la complejidad adicional.

¿Debo evitar todos los swaps instantáneos después del incidente de FixedFloat?

No: los exchanges instantáneos siguen siendo la forma más cómoda de moverse entre monedas, y la alternativa de usar un exchange custodial con KYC normalmente expone a más riesgo a largo plazo, no a menos. La lección de FixedFloat no es "no uses nunca swaps instantáneos", sino "no concentres el riesgo en una única plataforma, mantén los intercambios cortos en el tiempo y verifica el historial de incidentes del operador antes de enviar fondos".

Conclusión

FixedFloat en 2026 está endurecido operativamente respecto a la versión que fue vulnerada en febrero de 2024, pero la exposición estructural que hizo posible la brecha —hot wallets controladas por el operador que sirven de puente en cada swap— no ha sido eliminada. Esa es la respuesta honesta y de dos líneas a "¿es FixedFloat seguro?". La plataforma probablemente esté bien para swaps pequeños y acotados en el tiempo si confías en el endurecimiento posterior al incidente; no es un servicio estructuralmente más seguro que antes del hack, solo uno operado con más cuidado. Para cualquier cosa que vaya más allá de una conversión rápida, el mejor camino es repartir el riesgo de routing entre varios backends o usar un DEX de atomic swap sin custodia del operador. Si quieres un punto de partida centrado en Monero que tome la decisión de routing por ti, compara cotizaciones a través de MoneroSwapper o lee nuestro análisis de cómo comprar Monero de forma anónima antes de enviar tu próximo swap.

← back to blog