¡Así fue como un hacker se robó 11 BTC y Bisq quedó con la boca abierta!

El equipo de Bisq, un exchange descentralizado chido, soltó los primeros detalles sobre el hackeo del 1 de mayo. Resulta que un malandro se aprovechó de una falla en el sistema para robarse como 11 BTC, que son como $876,700 dólares, según lo que ya investigaron.

¿Cómo hizo la tranza el atacante? Pues metió un número negativo en las comisiones que se cobran en cada operación de compra-venta de cripto. En Bisq, el chiste es que tanto comprador como vendedor meten su lana en una cuenta compartida (multisig), que solo se puede desbloquear si ambos están de acuerdo, para que nadie se eche la mojada solo.

Pero el tramposo metió la comisión con valor negativo, y al calcular cuánto tenía que quedar en esa cuenta, el sistema dijo: “¡Ah, aquí nomás 0.001 BTC!” (poco más de 79 dólares). El resto del dinero, que debería haber quedado guardado hasta terminar la operación, se fue derechito a su cartera, sin que nadie se diera cuenta enseguida.

En pocas palabras, pudo vaciar el depósito de garantía de su contraparte antes de que el intercambio acabara.

Bisq se dio cuenta que este hack tenía huella fácil de detectar: todas esas transas tenían un depósito multisig de solo 0.001 BTC y una comisión minera de 10,000 satoshis (como 8 pesos), lo que les ayudó a ver cuándo y dónde pasó la bronca.

Hasta ahorita, los casos detectados han sido en operaciones con otras criptos (altcoins), y aclaran que hasta ahora las wallets de Bitcoin de los usuarios no se vieron afectadas.

Ahora, lo más locochón: Bisq cree que el hacker usó inteligencia artificial (IA) para aventarse este golpe, aunque no tienen pruebas al 100%. Ellos mismos probaron herramientas de IA para buscar el agujero y la IA encontró la falla más rápido que los humanos.

El primer intento con IA fue un falso positivo, pero el segundo sí reprodujo el ataque con éxito. El equipo de Bisq reconoció que fue un error no usar IA en sus auditorías de seguridad y que un programa de auditoría externo les había cerrado la puerta. “La verdad, la regamos bastante”, dijeron.

Este rollo no es solo con Bisq. Charles Guillemet, el CTO de Ledger, también ha advertido que la IA está haciendo que encontrar cómo explotar fallas conocidas sea más fácil y rápido que nunca. Antes, sacar un exploit funcional podría llevar días, ahora la IA lo hace en horas, mientras la mayoría ni siquiera ha instalado el parche.

En el caso de Bisq, la falla ni siquiera tenía parche porque era un error en la validación, pero el patrón es igual: la IA baja la barrera para encontrar lo que falta o lo que está roto antes de que nos demos cuenta. Así que ya sabes, esto apenas se pone intenso.