RetoSwap, un importante intercambio descentralizado de igual a igual centrado en la privacidad para intercambiar Monero ($XMR) contra monedas fiduciarias y otras criptomonedas a través de Tor, suspendió temporalmente todas las transacciones después de que se detectó una nueva vulnerabilidad de seguridad en el protocolo subyacente Haveno.
Hoy a las 18:02 UTC recibimos un informe de que el protocolo comercial Haveno se está explotando activamente. El equipo detuvo inmediatamente el comercio estableciendo la versión mínima del cliente en 2.0.0 usando la función de filtro y prohibió la dirección cebolla de los explotadores.
– RetoSwap (@RetoSwap) 16 de junio de 2026
El equipo de RetoSwap recibió el primer informe alrededor de las 18:02 UTC (2:02 a. m., hora de Beijing) del 16 de junio de 2026. Respondieron rápidamente elevando la versión mínima del cliente a 2.0.0, poniendo en la lista negra la dirección cebolla del atacante (fg2lhfh…2qpad.onion) y deteniendo el comercio. Las operaciones permanecerán en pausa hasta que se desarrolle, pruebe y publique un parche de seguridad completo. Este es el segundo incidente importante relacionado con el protocolo Haveno en un corto período. A mediados de mayo de 2026, los atacantes explotaron una falla en el manejo de mensajes ACK y la suplantación del árbitro durante la creación de una billetera multifirma, lo que resultó en el robo de aproximadamente 2,7 millones de dólares (alrededor de 7.000 dólares XMR). Las pérdidas se limitaron principalmente a grandes transacciones de cripto a cripto, y los comerciantes fiduciarios no se vieron afectados en gran medida.
El exploit de May Haveno se produjo durante un mes en el que se produjeron elevadas pérdidas en todo el sector de las criptomonedas. Según el seguimiento de la industria, los proyectos criptográficos perdieron más de 84 millones de dólares en 41 incidentes de seguridad solo en mayo de 2026, lo que pone de relieve los desafíos más amplios que enfrentan la seguridad de los protocolos y la gestión de riesgos en los ecosistemas descentralizados.
El último exploit de junio tiene como objetivo la resolución de disputas y el mecanismo de arbitraje forzado. Según las actualizaciones de la comunidad y los contribuyentes de Haveno, el atacante (que actúa como comprador) aceptó ofertas de compra, forzó el arbitraje y logró liberar $XMR después de las confirmaciones de Bitcoin (alrededor de 30 bloques) sin enviar el BTC correspondiente. En particular, este incidente parece involucrar lo que parecen ser direcciones legítimas de árbitros en algunos casos, a diferencia del vector de ataque de mayo.
El incidente también sigue a una serie de exploits recientes a nivel de protocolo que afectan a las plataformas financieras descentralizadas. A principios de este mes, Solv Protocol sufrió una pérdida de 2,7 millones de dólares relacionada con una vulnerabilidad de contrato inteligente en su Bro Vault, lo que subraya cómo las debilidades tanto de la capa de aplicación como de la capa de protocolo siguen planteando riesgos importantes para los usuarios.
RetoSwap confirmó que su propia infraestructura no fue vulnerada. La vulnerabilidad radica enteramente dentro del protocolo Haveno. Las pérdidas en este nuevo incidente parecen limitadas hasta el momento, ya que el equipo actuó rápidamente para contenerlo. Woodser, desarrollador líder de Haveno, declaró:
leñador
Consejos para los usuarios
Revocar todas las ofertas abiertas inmediatamente
Verifique y haga una copia de seguridad de los datos de su aplicación
Evite más transacciones hasta que se implemente el parche
Póngase en contacto con el soporte a través del grupo oficial SimpleX (“chatear con el administrador”) si tiene operaciones afectadas
RetoSwap es una implementación/bifurcación activa del protocolo Haveno, que ofrece comercio P2P Monero basado en Tor, totalmente sin custodia, con depósito en garantía de múltiples firmas 2 de 3. El propio Haveno se originó como una bifurcación de Bisq, con el objetivo de proporcionar una fuerte privacidad y descentralización. Sin embargo, los repetidos problemas en la validación de mensajes, el manejo de direcciones y la lógica de arbitraje han expuesto los desafíos para proteger estos complejos sistemas descentralizados.
Los equipos de RetoSwap y Haveno están trabajando en un parche de seguridad verificado. Se espera que las operaciones se reanuden sólo después de que la actualización se haya probado y publicado exhaustivamente. El equipo también está evaluando las opciones de recuperación para los usuarios afectados y planea publicar un informe post-mortem detallado. Estos incidentes consecutivos resaltan las dificultades del mundo real para construir protocolos comerciales seguros entre pares, especialmente para activos de privacidad de alto valor como Monero. Si bien la visión central del comercio privado y sin custodia sigue siendo importante en medio de las presiones regulatorias globales, estos eventos enfatizan la necesidad de una auditoría rigurosa y una respuesta rápida de la comunidad. Continuaremos monitoreando los lanzamientos de parches oficiales, las estimaciones de pérdidas y cualquier detalle de compensación de los equipos.