Hasta que la muerte nos separe: lo que significa el colapso de QuadriGACX para la seguridad criptográfica. Después de los impactantes hallazgos de que al norte de $1.7000mn en criptomoneda fue robado en 2018, la seguridad criptográfica sigue empeorando.
La respuesta que la mayoría de los expertos dan para evitar hacks es usar almacenamiento en frío. Pero, ¿qué pasa si ese almacenamiento en frío se pierde o se daña? Perder su billetera de hardware personal puede ser devastadora, pero ¿qué pasa con perder $190mn en fondos de usuarios como QuadrigacX, el mayor intercambio criptográfico de Canadá?
Lo siento, señor, he perdido mis billeteras de almacenamiento en frío
QuadriGACX sorprendió al mundo criptográfico el mes pasado al anunciar que había perdido más de $190mn en fondos de criptomonedas mantenidos en billeteras de almacenamiento en frío. Estas carteras estaban bajo el control exclusivo del CEO Gerald Cotten.
Entonces, ¿qué tenía que decir sobre el tema? Bueno, en realidad no mucho. Desafortunadamente, falleció repentinamente en India, como se anunció en la página de Twitter de QuadriGACX el 14 de enero:
Ciertamente, su contribución a Bitcoin en Canadá se echará de menos. Pero tristemente, lo que se perderá aún más son los fondos de 116.000 usuarios, cuya ubicación supuestamente ha sido llevado a su tumba.
El tuit de QuadrigacX sobre la muerte de su CEO provocó una oleada de condolencias junto con una avalancha de ira y abuso, con algunos teóricos de la conspiración incluso sugiriendo que él pudo haber fingido su propia muerte:
Que una persona tenga acceso exclusivo a las carteras de almacenamiento en frío para todo un intercambio parece algo improbable, irresponsable en el mejor de los casos. Y si se cree a la compañía, deja a la industria criptográfica pareciendo bastante ridícula.
QuadriGACX dijo en un comunicado:
“Durante las últimas semanas, hemos trabajado extensamente para abordar nuestros problemas de liquidez, que incluyen la localización de nuestras reservas de criptomonedas muy significativas mantenidas en carteras frías necesarias para satisfacer los saldos de criptomonedas de clientes en depósitos y la obtención de una institución financiera para aceptar los borradores bancarios que se transfieren a nosotros. Lamentablemente, estos esfuerzos no han tenido éxito.”
¿QuadriGACX realmente tenía almacenamiento en frío en primer lugar?
Los rumores comenzaron a comenzar acerca de si el intercambio incluso tenía almacenamiento en frío en el primer lugar. Según el Wall Street Journal, los analistas de seguridad no estaban tan seguros.
El jueves pasado, informaron sobre la asombrosa posibilidad de que las criptomonedas faltantes de QuadriGACX no puedan estar bloqueadas en billeteras frías después de todo. Simplemente pueden faltar... lo que lleva a toda una gama de posibilidades.
Según un informe de Chain Analysis publicado por Zerononcense:
“Parece que no hay reservas de billetera fría identificables para QuadriGACX.”
Los hallazgos se basaron en varios factores, pero esta teoría se debe principalmente al hecho de que las principales carteras identificadas hasta ahora las transacciones registradas no generalmente liquidadas a través de billeteras frías.
Las carteras frías suelen ser para transacciones grandes
Para que un intercambio utilice carteras frías, deben hacer todo lo posible para garantizar la seguridad de los fondos de sus clientes. Y eso significa que los tamaños de transacción suelen ser muy grandes. Cuando se inicia una transacción de cartera fría, normalmente implica millones de dólares, dignos de la necesidad de protección adicional.
Sin embargo, los tipos de transacciones en billeteras QuadrigaCX eran pequeños, por lo que era difícil justificar que se mantuvieran en billeteras frías en primer lugar.
WSJ analizó 50 cuentas de clientes de QuadriGACX y no pudo encontrar ningún enlace al almacenamiento en frío al que se refiere la empresa.
La conversación comenzó a abundar sobre si el intercambio estaba llevando a cabo una enorme estafa de salida. Y más mutadores y agitadores se unieron a la conversación, con el CEO de MyCrypto Taylor Monahan sugiriendo que tampoco había billeteras frías para sus transacciones de Ethereum.
“No veo ninguna indicación de que Quadriga tenga billeteras frías/de reserva para ETH”, dijo.
Incluso fue más allá para señalar que los propietarios de QuadriGACX tenían todos los datos KYC necesarios sobre sus clientes para mover el dinero y abrir una cuenta de cambio.
¿Qué significa esto para la seguridad criptográfica?
Claramente, la debacle de intercambio QuadrigaCX tiene muchos aspectos para la industria criptográfica. El primero (que se aplica a cualquier incidente de seguridad) es no mantener sus fondos en un intercambio. Los usuarios siempre deben estar a cargo de sus propios fondos.
Pero los intercambios también pueden aprender de QuadriGACX mediante la práctica del buen gobierno y la garantía de un proceso de firma múltiple para proteger los fondos.
Ledger es el proveedor de monederos de hardware más seguro del mundo. Sin embargo, el CEO Eric Larchevêque entiende que las carteras de hardware no son una solución práctica para las empresas. Después de todo, ¿a quién le das la billetera? Es como entregar las llaves de la caja fuerte a una sola persona. Dijo:
“Un conjunto de reglas debe ser aplicado por hardware seguro certificado. Por ejemplo, las solicitudes de pago deben estar sujetas a autorizaciones múltiples de funcionarios autorizados. Es fundamental construir la gobernanza de una manera que garantice que los fondos no se pongan en riesgo si un oficial se ve comprometido”.
Con ese fin, la compañía tiene una solución para las empresas que se ocupan de grandes cantidades de criptomoneda llamada Ledger Vault. Se trata de una solución de gestión de autocustodia de criptomonedas multiautorización que requiere que varias personas confirmen una transacción.
Crypto puede aprender de los bancos
Panxora es otra firma responsable de mantener los fondos de sus clientes en billeteras frías. El CEO Gavin Smith cree que los intercambios criptográficos son ingenuos, y también se hace eco de los sentimientos de Larchevêque:
“Eventos como estos muestran que muchos en la industria criptográfica siguen siendo ingenuos cuando se trata de configurar sus sistemas de seguridad. Todo se reduce al sentido común. Si bien las carteras frías son sin duda la mejor opción para proteger los activos de los clientes, el proceso de retiro de fondos también debe tenerse en cuenta.
“Aquí hay mucho que aprender de la banca tradicional. Los intercambios criptográficos son igualmente capaces de configurar un proceso en el que retirar fondos requiere que varias partes firmen una transacción, y las contraseñas se almacenan en ubicaciones seguras sin conexión ".
Y en cuanto a QuadrigacX y su historia?
Parece que hay una manera en que el equipo de QuadriGACX pueda probar su historia y limpiar sus nombres con el tiempo. Como señaló Deadal Nix en Twitter, si lo que dicen es cierto, deberían publicar las direcciones para demostrar que los fondos en las supuestas carteras frías permanecen allí.
Si no pueden hacer esto, entonces es probable que sea una de las estafas de salidas más elaboradas que criptografía ha visto hasta ahora.
Disclaimer: The views and opinions expressed by the author should not be considered as financial advice. We do not give advice on financial products.