system online · no logs · no tracking · no kyc tor: v3 ready
[never]kyc
login sign up →
root@neverkyc:/blog/hack-fixedfloat-2024-que-paso-monero$ cat post.md

Hack de FixedFloat 2024: qué pasó realmente

// by ~anon · 2026-05-31 · mock,auto-generated,es

Hack de FixedFloat 2024: Qué pasó realmente

El 16 de febrero de 2024, los operadores que vigilaban la página de estado de FixedFloat vieron primero un aviso breve, casi displicente, sobre unos "trabajos técnicos". En cuestión de horas, los investigadores on-chain ya estaban contabilizando las salidas: aproximadamente 409 BTC y 1.728 ETH se habían movido desde los hot wallets de la plataforma hacia direcciones sin historial previo. Cuando la polvareda se asentó, la pérdida ascendía a unos 26 millones de dólares, convirtiendo el incidente de FixedFloat en el mayor hackeo de un servicio de intercambio sin KYC a comienzos de 2024 y en una de las brechas más estudiadas del año. El daño no fue solo financiero: forzó a toda una categoría de exchanges instantáneos a replantearse la exposición de sus hot wallets, la confianza en los firmantes externos y la forma en que se comunican durante una crisis.

Este análisis reconstruye la cronología, la forensia on-chain, las preguntas sin respuesta y las consecuencias prácticas para cualquiera que use servicios de intercambio sin KYC. Si encaminas operaciones sensibles a la privacidad a través de agregadores o directamente mediante servicios como MoneroSwapper, las lecciones del incidente de FixedFloat de febrero de 2024 siguen vigentes en 2026: la superficie de ataque que dejaron al descubierto no ha desaparecido, simplemente se ha diversificado.

El día que FixedFloat se apagó

FixedFloat había dedicado cuatro años a construir su reputación como exchange instantáneo fiable: sin cuenta, sin correo electrónico, sin KYC, solo un tipo de cambio cotizado y una dirección. A comienzos de 2024 procesaba varios miles de swaps diarios entre más de 60 monedas, incluyendo Monero, Bitcoin, Litecoin y un largo listado de activos EVM. Ese volumen convertía a la plataforma en un objetivo atractivo, y el 16 de febrero alguien cobró factura.

La respuesta pública inicial fue torpe. El primer mensaje de FixedFloat atribuía la caída a "incidencias técnicas menores" y pedía a los usuarios que esperaran. En menos de seis horas, los analistas de blockchain ya habían publicado direcciones de cartera, hashes de transacciones y un cálculo aproximado y en curso de las pérdidas. Solo entonces confirmó el exchange lo que a esas alturas resultaba evidente para cualquiera que mirase la cadena.

  • Pérdida en Bitcoin: aproximadamente 409 BTC, drenados en una serie de consolidaciones de UTXO desde el hot wallet de FixedFloat hacia direcciones controladas por el atacante.
  • Pérdida en Ethereum: aproximadamente 1.728 ETH, barridos en lotes limpios y redirigidos de inmediato hacia infraestructura conocida de mezcladores.
  • Valor combinado: unos 26 millones de dólares al precio spot del día del incidente.
  • Retraso en la detección: pasaron casi tres horas entre la primera salida sospechosa y el primer reconocimiento público por parte de FixedFloat.
  • Impacto en usuarios: los swaps en curso quedaron pausados, los reembolsos se retrasaron semanas y varios clientes grandes denunciaron pérdidas parciales en operaciones que el exchange había confirmado pero nunca entregó.

Ese retraso en la detección es la parte que los profesionales en respuesta a incidentes encuentran más inquietante. Un hot wallet sangrando hacia direcciones desconocidas debería disparar alertas automáticas en segundos, no en horas. El hecho de que el atacante tuviera tiempo para consolidar UTXOs y puentear el Ethereum hacia servicios de mezcla antes de cualquier declaración pública sugiere que la monitorización interna o falló, o fue evadida, o fue activamente silenciada durante la ventana del ataque.

Cómo se desarrolló realmente el ataque

FixedFloat nunca ha publicado un post-mortem formal, lo cual es de por sí parte de la historia. La mayor parte de lo que se sabe públicamente procede del análisis independiente on-chain realizado por firmas como SlowMist, MistTrack y PeckShield, además de hilos comunitarios que reconstruyeron el flujo de los fondos casi en tiempo real. Tres piezas encajan para formar el cuadro más ampliamente aceptado.

El modelo de exposición del hot wallet

Los exchanges instantáneos viven y mueren por la liquidez de sus hot wallets. A diferencia de los exchanges con libro de órdenes, que pueden mover grandes reservas a frío entre operaciones, un servicio de swap sin cuenta tiene que liquidar en el momento en que se confirma un depósito. Eso significa que un saldo operativo tiene que estar en línea, indexado por dirección y listo para firmar transacciones salientes bajo demanda. Los hot wallets de FixedFloat en BTC y ETH estaban dimensionados para absorber los picos de volumen del fin de semana, lo que implicaba que decenas de millones en fondos líquidos estaban siempre al alcance de la infraestructura de firma que la plataforma utilizara.

El compromiso del firmante

El patrón on-chain del drenaje de FixedFloat —barridos grandes y limpios, sin comportamiento fragmentado, sin intentos fallidos, sin transacciones de tanteo— es coherente con un atacante que ya disponía de autoridad de firma válida. No hubo explotación de un smart contract, ni bug de bridge, ni manipulación de oráculos. Las claves en sí, o los sistemas que las manejaban, fueron el vector. Tanto si se trató de una clave privada filtrada, una sesión de HSM comprometida, un insider malicioso o un compromiso en la cadena de suministro de una dependencia de firma, el resultado práctico fue idéntico: el atacante firmó transacciones que FixedFloat habría firmado por sí mismo.

La ruta de blanqueo

En las 24 horas siguientes a la brecha, grandes porciones del ETH robado fueron canalizadas a través de eXch —otro servicio de intercambio sin KYC— y convertidas en activos orientados a la privacidad. Una parte del BTC tomó un camino más largo a través de infraestructura de mezcla antes de fragmentarse en docenas de direcciones nuevas. El uso de otro exchange sin KYC para lavar el botín se convirtió en un punto de fricción para el sector, y eXch acabó enfrentándose a una presión regulatoria sostenida que contribuyó a su propio cierre en 2025. El hackeo de FixedFloat, por tanto, no es solo la historia del mal día de un exchange concreto: desencadenó una reacción en cadena en todo el ecosistema sin KYC.

Lo instructivo de FixedFloat no es que un hot wallet pueda ser drenado, sino lo que tardó alguien dentro de la empresa en darse cuenta. Una monitorización que depende de un humano echando un vistazo a un panel no es monitorización.

Comparativa de los grandes incidentes sin KYC

FixedFloat no es el único servicio sin KYC que ha sufrido una brecha de envergadura. Colocarlo junto a otros incidentes de la misma época facilita ver los riesgos estructurales de la categoría. El patrón es consistente: exposición de hot wallets, comunicación pública lenta y blanqueo que fluye hacia infraestructuras preservadoras de la privacidad.

IncidentePérdida estimadaVector de ataquePost-mortem público
FixedFloat (febrero 2024)~26 M USDCompromiso del firmante del hot walletNinguno publicado
FixedFloat (réplica marzo 2024)~3 M USDMisma infraestructura, reutilización parcialNinguno publicado
Exposición por blanqueo en eXchIndirectaEntrada de fondos robadosSolo comunicados operativos
Exploits de bridges 2022-2024 (media)100+ M USD por eventoBug de smart contractHabitualmente publicado
Brechas en CEX con almacenamiento fríoRarasCompromiso multisigA veces publicado

Lo que distingue a la categoría sin KYC es el silencio posterior. Un exchange regulado que pierde fondos de clientes se enfrenta a obligaciones de divulgación inmediatas y suele publicar un post-mortem para conservar la confianza que pueda quedar. Un exchange sin KYC no tiene tal obligación y a menudo cuenta con razones comerciales para mantener los detalles en silencio: cualquier divulgación técnica puede ayudar a futuros atacantes, y cualquier revelación operativa puede atraer a los reguladores. El resultado es una categoría en la que los usuarios tienen que razonar sobre la seguridad desde fuera, con las migas de pan on-chain como única fuente fiable de verdad.

Cómo protegerte al usar swaps sin KYC

El incidente de FixedFloat no significa que haya que evitar los servicios de swap sin KYC: para muchos usuarios, especialmente en jurisdicciones hostiles a la privacidad financiera, siguen siendo la única opción realista. Sí significa que el modelo de amenaza es distinto al de un exchange custodial, y tu comportamiento debería reflejarlo. Los pasos siguientes recogen lo que los operadores experimentados adoptaron después de febrero de 2024.

  1. Trata la ventana del swap como tránsito, no como almacenamiento. Los fondos que envías a un exchange sin KYC deben estar de paso, no aposentados. Prepara con antelación tu dirección de destino —idealmente una cartera cuyas claves controles, como una wallet de Monero generada a partir de una mnemónica Polyseed— antes de crear el swap. No te detengas a mitad de camino.
  2. Dimensiona cada swap con cuidado. Los hot wallets de FixedFloat fueron drenados porque estaban dimensionados para picos de volumen. Desde el lado del usuario, la lección es simétrica: nunca encamines una transacción mayor de la que estés dispuesto a perder si el exchange tiene un mal día. Varios swaps pequeños con distintos servicios baten a uno grande.
  3. Verifica on-chain la dirección de depósito antes de enviar. Las plataformas serias muestran una dirección de depósito nueva por cada orden. Comprueba la dirección en un explorador de bloques en busca de historial previo. Una dirección sin historial es buena señal para una orden fresca; una con miles de transacciones entrantes es una bandera roja sobre la higiene de seguridad.
  4. Contrasta el tipo de cambio. Si la tasa cotizada es drásticamente mejor que la de la competencia, incluida MoneroSwapper, es una señal que merece investigarse, no una ganga que haya que agarrar. Las anomalías de precio suelen correlacionar con liquidez tensionada o, en casos extremos, con plataformas operando bajo compromiso.
  5. Confirma la finalización en una wallet de Monero que controles. Una vez completado el swap a tu destino, confirma la transacción en tu cartera: outputs RingCT visibles, la dirección stealth generando saldo, tu clave de visualización cuadrando con el importe esperado. Hasta que no hayas hecho esto en tu propio software, el swap no está terminado.
  6. Mueve los fondos pronto al almacenamiento de largo plazo. Si tu plan a largo plazo es mantener Monero, barre los outputs recibidos a una cartera cuya semilla esté fuera de línea cuanto antes. Cuanto más tiempo permanezcan los activos preservadores de privacidad en una dirección de contraparte conocida, más metadatos acumulan.

Por qué esta historia importa a los usuarios de swaps a Monero

Los usuarios de Monero están sobrerrepresentados en la clientela de los exchanges sin KYC, por razones obvias: las rampas de entrada a Monero desde fiat o desde otras criptomonedas se han estrechado considerablemente entre 2021 y 2026, y los servicios de swap instantáneo se han convertido en una vía principal. Eso convierte la seguridad de esos servicios en una preocupación directa para cualquiera que intente usar Monero para su propósito original. Cuando un exchange como FixedFloat se ve comprometido, el fallo no solo afecta a las personas cuyos depósitos fueron robados en el propio ataque: también afecta a todos los que tenían un swap en vuelo, a todos los que esperaron semanas por un reembolso y a todos cuya cartera aguas abajo contiene ahora outputs que tocaron una dirección marcada.

Las garantías de privacidad de Monero, incluidas las firmas en anillo, las direcciones stealth y Bulletproofs+, protegen las transacciones en la propia cadena de Monero. No protegen el momento en que un usuario entrega monedas no-Monero a un servicio de swap, y no deshacen un fallo de contraparte. Esa es la grieta en la que operan incidentes como el de FixedFloat. Un usuario puede tener un opsec impecable en Monero y, aun así, perder fondos porque el servicio puente que custodiaba sus BTC durante treinta minutos estaba siendo drenado por un atacante en otro huso horario.

La respuesta práctica es elegir los servicios de swap con cuidado. Presta atención al historial operativo, al registro de respuesta a incidentes y al grado en que un servicio está dispuesto a hablar sobre su modelo de seguridad. Los servicios que publican su división entre fondos en frío y caliente, que rotan su infraestructura de firma y que mantienen una comunicación clara y pública durante una caída ofrecen perfiles de riesgo demostrablemente mejores que los servicios que tratan cada incidente como un misterio. MoneroSwapper, por ejemplo, fue construido específicamente alrededor del principio de que los usuarios de swaps no deberían tener que elegir entre privacidad y visibilidad operativa: el enrutamiento es privado, pero el comportamiento de la plataforma durante un incidente está pensado para ser ruidoso y nítido, no silencioso.

Lo que aprendió el sector (y lo que no)

Dos años después de la brecha, el ecosistema de swaps sin KYC luce mensurablemente distinto. Varias plataformas publican ahora instantáneas trimestrales de prueba de reservas, varias se han trasladado a esquemas de firma multipartita con firmantes geográficamente distribuidos, y más incidentes se acompañan al menos de una breve declaración pública. Existen productos de seguro para servicios de swap instantáneo donde antes no había ninguno, aunque la cobertura es delgada.

Lo que no ha cambiado es la presión estructural sobre los hot wallets. Mientras los swaps instantáneos sean una categoría de producto, alguien tiene que custodiar fondos líquidos en línea y alguien tiene que autorizar transacciones bajo demanda. La frontera del ataque se ha desplazado desde los bugs on-chain (que dominaron 2021-2022) hacia el compromiso off-chain de la infraestructura de firma, mucho más difícil de defender en la capa técnica porque la debilidad suele ser organizativa. El phishing a operadores, los ataques a la cadena de suministro sobre dependencias y las amenazas internas siguen siendo vectores activos en 2026.

Una evolución genuinamente positiva: los cuellos de botella del blanqueo se han estrechado. Después de que el incidente de FixedFloat expusiera con qué facilidad podían moverse los fondos robados a través de otros servicios sin KYC, las plataformas supervivientes adoptaron listas de bloqueo compartidas, filtrado de depósitos contra clústeres de atacantes conocidos y pagos más lentos ante patrones sospechosos. Eso ha vuelto más difícil el lavado posterior, aunque la superficie de ataque original no haya sido eliminada.

Preguntas frecuentes

¿Cuánto perdió FixedFloat en el hackeo de febrero de 2024?

FixedFloat perdió aproximadamente 409 BTC y 1.728 ETH, por un valor cercano a los 26 millones de dólares en el momento del ataque. Los fondos fueron drenados de los hot wallets de la plataforma en una serie de transacciones limpias a lo largo de una tarde. Un incidente menor de seguimiento en marzo de 2024 añadió aproximadamente 3 millones más en pérdidas antes de que el exchange rotase su infraestructura de firma.

¿Reembolsó FixedFloat a los usuarios afectados?

FixedFloat acabó procesando reembolsos para la mayoría de los usuarios con órdenes en vuelo o sin completar, aunque el proceso se prolongó durante semanas para muchos clientes. El exchange cubrió las pérdidas con sus propias reservas en lugar de trasladárselas a los usuarios afectados, una distinción significativa: muchos exchanges hackeados socializan las pérdidas entre toda su base de usuarios. Algunos usuarios reportaron recuperación parcial o casos sin resolver.

¿Se identificó alguna vez al atacante de FixedFloat?

Públicamente, no. El análisis on-chain rastreó los fondos a través de varios mezcladores y a lo largo de la plataforma eXch, pero ningún individuo o grupo ha sido atribuido formalmente a la brecha. Algunos analistas especularon con implicación de un actor estatal por la sofisticación del lavado, mientras que otros señalaron un compromiso de insider o de cadena de suministro a partir del comportamiento limpio de la firma. FixedFloat no ha publicado sus hallazgos internos.

¿Es seguro usar FixedFloat en 2026?

FixedFloat ha seguido operando desde el incidente y, según se informa, ha actualizado su infraestructura de firma. La decisión de usar cualquier swap sin KYC es una evaluación personal de riesgo que debe tener en cuenta el historial operativo, la transparencia y el tamaño de la operación. Muchos usuarios diversifican entre varias plataformas precisamente para no concentrar la exposición en un único operador, una práctica sensata sea cual sea el exchange en cuestión.

¿Cuál es la forma más segura de cambiar a Monero hoy?

El flujo más seguro consiste en usar un servicio de swap con historial operativo limpio, enviar la menor cantidad práctica por transacción, confirmar la recepción en una cartera de Monero cuya semilla mnemónica hayas generado tú mismo y barrer los fondos al almacenamiento de largo plazo poco después. MoneroSwapper está diseñado en torno a este flujo: recopilación mínima de datos, reporte de estado claro y entrega directa a una dirección stealth que tú controlas. Combinar un servicio de swap cuidadoso con una higiene disciplinada de cartera ofrece el resultado práctico más sólido.

¿Cómo se compara esto con los hackeos de exchanges tradicionales?

Los hackeos de exchanges regulados tradicionales suelen implicar pérdidas absolutas mayores, pero con más opciones de recuperación gracias a seguros, presión regulatoria y post-mortems públicos. Los hackeos de swaps sin KYC como el de FixedFloat son menores en términos de dólares, pero más arriesgados por usuario porque no existe más recurso que la buena voluntad del exchange. La diferencia estructural es que cambias recurso legal por privacidad cuando eliges la vía sin KYC, y ese intercambio debe estar internalizado en cuánto pasas a través de una sola plataforma.

Conclusión

El hackeo de FixedFloat fue un acontecimiento clarificador para la categoría de swaps sin KYC. No inventó una nueva clase de ataque ni introdujo un riesgo en el que los usuarios informados no estuvieran pensando ya. Lo que sí hizo fue forzar una suposición oculta a la luz: que la disciplina operativa de un exchange instantáneo es parte de la garantía de seguridad, y que cualquier plataforma que pida a sus usuarios confiar en ella durante treinta minutos más vale que merezca esos treinta minutos de confianza. Algunas plataformas respondieron a esa presión con mejores prácticas, comunicación pública y mejoras demostrables. Otras se quedaron calladas y esperaron que los usuarios olvidaran. El mercado todavía está separando unas de otras.

Para cualquiera que use Monero en 2026, la conclusión es práctica. Elige servicios de swap que traten tu tiempo y tus fondos con la seriedad que el momento exige, dimensiona tus operaciones según el modelo de amenaza al que realmente te enfrentas y confirma cada tramo del recorrido en software que controles. Si quieres empezar un swap ahora mismo con un servicio construido exactamente alrededor de estos principios, puedes comenzar en comprar Monero de forma anónima o comparar las tasas actuales a través del motor de cotización de MoneroSwapper. El incidente de 2024 queda atrás, pero las lecciones que dejó dan forma a cada swap que haces hoy.

← back to blog