Paradex vuelve a ser hackeado: ¿Por qué no se robaron fondos a pesar de la filtración de 57 claves

La plataforma de derivados descentralizados Paradex ha experimentado dos importantes incidentes de seguridad en apenas dos días. Después de que el 19 de enero un fallo en el sistema hiciera que el precio de Bitcoin apareciera en cero, hoy la plataforma confirmó que el robot de trading Mithril conectado a ella fue hackeado, y las subclaves de aproximadamente 57 usuarios fueron filtradas. Pero, contrariamente a lo que cabría esperar en un desastre de esta magnitud, esta vez no se produjeron pérdidas de fondos de los usuarios. La clave está en el diseño de permisos: las subclaves filtradas solo pueden usarse para ejecutar operaciones, sin poder acceder al saldo de las carteras de los usuarios.

¿Por qué están seguros los fondos pese a la filtración de claves?

Alcance real del ataque

Según la divulgación oficial de Paradex, los hackers invadieron los sistemas internos de Mithril, lo que llevó a la filtración de las subclaves de unos 57 usuarios. Pero aquí es importante aclarar un detalle clave: no se filtraron las claves maestras de los usuarios, sino las “subclaves” específicamente diseñadas para la ejecución de operaciones.

Este tipo de división de permisos es fundamental. Paradex explica que estas subclaves fueron diseñadas con “permisos limitados”, con restricciones específicas:

• Operaciones permitidas: realizar órdenes, ajustar posiciones, cerrar posiciones
• Operaciones prohibidas: retirar fondos, transferir saldos, modificar configuraciones de la cuenta

Esto significa que, incluso si los atacantes consiguen estas claves, solo podrán realizar operaciones dentro de la cuenta del usuario, sin poder retirar fondos. Esta arquitectura de permisos en capas funciona como un cortafuegos en momentos críticos.

Respuesta de emergencia de Paradex

Tras detectar la anomalía, Paradex tomó medidas rápidas:

• Suspendió inmediatamente las transferencias relacionadas con XP
• Revocó todas las subclaves vinculadas a Mithril
• Cortó el acceso a los bots comprometidos
• Llamó a los usuarios a revisar y limpiar las autorizaciones externas

Por la rapidez en la respuesta, la plataforma evitó que la situación se agravara aún más.

Riesgos sistémicos tras estos incidentes

Problemas en corto plazo

Lo que resulta aún más preocupante es que Paradex ha sufrido dos eventos importantes en solo 48 horas:

Aunque de naturaleza distinta, ambos eventos reflejan un problema común: la gestión de riesgos en el ecosistema de trading automatizado DeFi aún presenta vulnerabilidades.

La doble cara de las herramientas automatizadas DeFi

Este incidente vuelve a recordar al mercado que las herramientas automatizadas de terceros, aunque mejoran la eficiencia en las operaciones, no están exentas de riesgos. Entre estos riesgos se incluyen:

• Riesgos técnicos: fallos en el mantenimiento de la plataforma o errores en el sistema que puedan causar liquidaciones no deseadas
• Riesgos de seguridad: los robots de terceros pueden ser objetivos de ataques
• Riesgos de permisos: otorgar permisos excesivos puede tener consecuencias catastróficas

La razón por la que Paradex pudo atravesar esta situación sin pérdidas radica en un diseño de permisos adecuado. Sin embargo, no todos los plataformas cuentan con estas protecciones.

Lecciones para usuarios y el mercado

Recomendaciones para los usuarios

• Revisar periódicamente las autorizaciones a herramientas externas, conservando solo las conexiones necesarias y confiables
• Priorizar plataformas y herramientas con diseño de permisos en capas
• Seguir la historia de seguridad y la capacidad de respuesta ante emergencias de las plataformas
• No depender excesivamente de una sola herramienta automatizada

Reflexiones para el mercado

Estos incidentes muestran que el ecosistema de trading automatizado DeFi aún necesita mejorar sus estándares de seguridad. Algunos usuarios valoran la rápida reacción de Paradex, pero también señalan que no basta con responder rápidamente; es fundamental fortalecer el diseño del sistema y la gestión de riesgos desde la raíz.

Conclusión

El incidente de hackeo a Paradex fue sin pérdidas, pero las lecciones que deja son importantes. Aunque un buen diseño de permisos evitó pérdidas de fondos, la ocurrencia de dos eventos graves en corto plazo revela que hay margen para mejorar en aspectos técnicos y de seguridad. Para los traders, el equilibrio entre conveniencia y seguridad es más crucial que nunca. Elegir herramientas automatizadas no debe basarse solo en funciones, sino también en el diseño de permisos, historial de seguridad y capacidades de gestión de riesgos de la plataforma. El desarrollo de DeFi requiere no solo facilidad, sino también fiabilidad.