Seguridad de Paradex probada mientras exploit de Mithril Trading Bot expone 57 subclaves de usuarios

Los recientes eventos en Paradex han planteado nuevas preguntas sobre la seguridad de paradex, las herramientas de automatización de terceros y la rapidez con la que los exchanges reaccionan cuando los sistemas son violados.

Paradex confirma la violación del Bot de Trading de Mithril

La plataforma de derivados Paradex ha confirmado un incidente de seguridad que involucra al Bot de Trading de Mithril, después de que un atacante accediera a los sistemas internos de Mithril y expusiera aproximadamente 57 subclaves de usuarios. Según Wu Blockchain, Paradex declaró que la explotación se limitó a la infraestructura de Mithril y no comprometió el exchange principal.

Además, Paradex enfatizó que las subclaves afectadas tenían permisos restringidos. Estas claves podían ejecutar operaciones en nombre de los usuarios, pero no podían retirar ni mover fondos de las cuentas de los usuarios. Esta elección de diseño protegió efectivamente el capital, aunque el acceso al trading automatizado estuvo brevemente en riesgo.

En respuesta, el exchange pausó todas las transferencias de XP y revocó rápidamente cada subclave asociada con las cuentas de trading vinculadas a Mithril. Dicho esto, Paradex indicó que se espera que las transferencias de XP se reanuden pronto, una vez que se completen las verificaciones internas y las validaciones de seguridad.

Qué fue comprometido y quiénes están afectados

La violación impactó solo a aquellos usuarios que habían conectado sus cuentas de Paradex a los bots de trading de Mithril. Ningún otro cliente de Paradex fue afectado, y la plataforma reiteró que el compromiso no se extendió a sus principales sistemas de custodia o emparejamiento.

Estas subclaves, diseñadas para estrategias automatizadas, permiten a los bots colocar y gestionar operaciones, pero carecen de derechos de retiro de las billeteras de los usuarios. Sin embargo, aunque este modelo de permisos limitados ayudó a contener el impacto, aún expuso cuán sensibles pueden ser las configuraciones y estrategias de trading cuando las herramientas de terceros se ven comprometidas.

Paradex compartió actualizaciones a través de su cuenta oficial de X y advirtió a los usuarios sobre otorgar acceso a servicios externos. La compañía subrayó que no controla cómo los proveedores externos almacenan, cifran o protegen las claves API y subclaves, lo que deja una capa adicional de riesgo para los traders que dependen de la automatización.

Bots de terceros y riesgos crecientes de automatización

El incidente subraya los desafíos de seguridad más amplios en torno a los bots de trading de terceros en los mercados cripto. Cuando los usuarios integran herramientas externas, efectivamente amplían la superficie de ataque más allá del exchange principal hacia una infraestructura que no ven ni controlan.

Además, Paradex enfatizó que la responsabilidad de examinar estas herramientas recae en última instancia en los usuarios finales. Se insta a los traders a revisar la documentación de seguridad, las prácticas de almacenamiento de claves y los alcances de permisos antes de conectar servicios de automatización a sus cuentas, especialmente cuando están involucradas estrategias complejas de derivados.

Para muchos usuarios afectados, la violación fue una sorpresa a pesar del alcance limitado. Sin embargo, la rápida revocación de las subclaves expuestas y la ausencia de retiros no autorizados ayudaron a mantener la confianza de que los saldos permanecieron seguros, incluso si la confianza en las integraciones de terceros se ha visto afectada.

Acciones de seguridad de Paradex y reacción de la comunidad

Después de detectar el compromiso de Mithril, Paradex ejecutó una serie de medidas de seguridad. Primero, detuvo las transferencias de XP como paso de precaución mientras realizaba auditorías internas. Luego revocó todas las subclaves vinculadas a Mithril, cortando la conexión comprometida con las cuentas de los usuarios.

La compañía también instó a los traders a revisar todas las conexiones activas, eliminar las credenciales de API no utilizadas y minimizar los permisos siempre que sea posible. Dicho esto, muchos miembros de la comunidad en las plataformas sociales elogiaron la rápida comunicación y respuesta técnica de Paradex, incluso cuando pidieron pautas más estrictas en torno a las integraciones de terceros.

Algunos comentaristas argumentaron que la arquitectura de seguridad de paradex, particularmente el uso de subclaves no retirables, redujo significativamente el daño potencial de la violación. Otros señalaron que el episodio es un recordatorio de que la conveniencia y la automatización siempre deben equilibrarse con los riesgos de seguridad operacional.

Reembolsos de $650,000 después de la interrupción del 19 de enero

La explotación relacionada con Mithril sigue de cerca otro desafío operacional para Paradex. El 19 de enero, la plataforma experimentó una interrupción de red que desencadenó anomalías de precios, incluida una breve visualización de Bitcoin (BTC) a un precio de $0 en la interfaz.

Este fallo provocó una ola de liquidaciones incorrectas en las posiciones de derivados. Después de revisar el impacto, Paradex realizó un análisis detallado de las cuentas afectadas y decidió compensar a los usuarios que fueron liquidados incorrectamente durante la interrupción.

El exchange finalmente emitió aproximadamente $650,000 en reembolsos a aproximadamente 200 usuarios. Además, Paradex declaró que este proceso de revisión ya se ha completado y todas las cuentas impactadas han recibido la compensación apropiada, luego de un retroceso de blockchain realizado anteriormente para corregir la anomalía.

Confianza, transparencia y lecciones para traders de DeFi

En conjunto, la exposición de subclaves y la interrupción de enero destacan cómo los lugares de trading cripto de rápido crecimiento se prueban en condiciones reales de mercado. Sin embargo, también demuestran por qué la divulgación pública y los informes detallados de incidentes son críticos para mantener la confianza de los usuarios.

Paradex ha proporcionado actualizaciones de estilo post-mortem, aclaró qué fue comprometido y delineó cómo mitigó tanto la violación relacionada con el bot como los errores de liquidación. Para los traders, la conclusión clave es directa: los bots automatizados pueden amplificar las ganancias, pero también introducen nuevas capas de riesgo de contraparte e infraestructura.

En un entorno donde el rendimiento y la conveniencia a menudo tienen prioridad, estos eventos refuerzan que las prácticas de seguridad robustas, la comunicación transparente y el uso cauteloso de herramientas externas siguen siendo esenciales. En última instancia, se les recuerda a los usuarios que la confianza en las plataformas y servicios de terceros debe ganarse continuamente, no asumirse.

En resumen, los incidentes de Paradex y Mithril muestran que, si bien los fondos de los usuarios permanecieron protegidos por subclaves de permisos limitados y reembolsos posteriores, tanto la arquitectura de seguridad como la velocidad de comunicación son ahora centrales para la ventaja competitiva en el trading cripto.