Categorías
Otros

La bifurcación RetoSwap de Haveno fue vaciada el 20 de mayo de 2026. Aquí te explicamos qué provocó la vulnerabilidad, qué implica para la seguridad del intercambio de Monero y dónde intercambiar XMR de forma segura ahora.

El 20 de mayo de 2026, unos atacantes robaron fondos de usuarios de RetoSwap, una popular bifurcación de Haveno que permite a los usuarios intercambiar Monero entre pares a través de una red de arbitraje descentralizada. PeckShield estima la pérdida en aproximadamente 1,890 XMR (unos 05 340,000 dólares en el momento del incidente). El ataque se dirigió a una vulnerabilidad en el contrato de depósito en garantía multifirma utilizado para custodiar las garantías de las transacciones, no a la capa base de Monero. Monero en sí no se vio comprometido.

TL; DR: RetoSwap (una bifurcación de Haveno) perdió aproximadamente 1,890 XMR debido a una vulnerabilidad en el sistema de depósito en garantía con multifirma el 20 de mayo de 2026. El protocolo de Monero no se vio afectado. Si estabas realizando una transacción en RetoSwap, tus fondos podrían estar en riesgo; si necesitas transferir XMR ahora, utiliza un swap sin custodia que no agrupe las garantías de los usuarios.

¿Qué sucedió el 20 de mayo de 2026?

RetoSwap es una bifurcación comunitaria de Haveno, la plataforma de comercio P2P de código abierto nativa de Monero. Las transacciones en estas plataformas se almacenan en custodia en billeteras multifirma 2 de 3 (el comprador, el vendedor y el árbitro poseen una clave cada uno), de modo que ninguna parte puede mover fondos unilateralmente.

De acuerdo con La autopsia inicial de PeckShield Según un informe del 20 de mayo de 2026, el atacante explotó una vulnerabilidad en el flujo de firmas que permitía a un árbitro malicioso combinar firmas de múltiples transacciones no relacionadas. Una vez combinadas, el atacante podía retirar XMR depositados en custodia de docenas de transacciones en curso simultáneamente. El desvío de fondos duró aproximadamente 47 minutos antes de que los operadores de RetoSwap detuvieran el grupo de árbitros.

El El proyecto Haveno respondió el mismo día. (consultado el 20/05/2026), confirmando que la vulnerabilidad existe en el código que Haveno distribuye y recomendando a todos los operadores de bifurcaciones de Haveno que suspendan las nuevas transacciones hasta que se publique una versión parcheada. Los desarrolladores principales de Monero por separado Confirmado en monero.org (consultado el 20/05/2026) que el protocolo Monero, las firmas de anillo y el despliegue de FCMP++ no se ven afectados; el error reside en la lógica de depósito en garantía de la capa de negociación, no en Monero en sí.

¿Qué significa esto para la seguridad de los intercambios de Monero?

La conclusión principal no es que "el comercio P2P esté roto". Es más específica: cualquier sistema que agrupe fondos de usuarios en un depósito compartido —incluso uno multifirma 2 de 3— concentra el riesgo en la lógica del depósito. Cuando esta lógica falla, todas las transacciones en curso quedan expuestas de inmediato.

Tres categorías de movimientos de XMR, clasificadas por superficie de riesgo agrupado:

  1. Intercambios centralizados con custodia. Todos los XMR de los usuarios se encuentran en las billeteras de la plataforma de intercambio. Si la plataforma es hackeada o se declara insolvente, todos los usuarios se ven afectados. El riesgo compartido es máximo.
  2. Plataformas P2P con depósito en garantía compartido (Haveno, RetoSwap, bifurcaciones similares). Durante una ventana de explotación, solo las operaciones en curso están en riesgo, pero todas las operaciones simultáneas comparten la misma lógica de depósito en garantía. Riesgo agrupado medio.
  3. Servicios de intercambio de fondos sin custodia que canalizan los fondos sin retenerlos. Cada intercambio es un paso directo aislado; no hay un pool compartido que vaciar. El riesgo del pool es mínimo para el usuario, aunque cada intercambio individual sigue dependiendo de que el servicio complete la ruta.

Esto no implica afirmar que un modelo sea universalmente "mejor". El comercio P2P ofrece ventajas que un swap de transferencia directa no puede ofrecer: conversiones directas a moneda fiduciaria, precios fijados por el usuario y arbitraje de disputas. La cuestión es que los modos de fallo son diferentes, y el caso de RetoSwap ilustra el modo de fallo específico del depósito en garantía multifirma agrupado.

Si te has visto afectado

Si tenías una operación abierta en RetoSwap el 20 de mayo de 2026, tus fondos podrían estar entre los que se hayan agotado. RetoSwap ha publicado una página de respuesta a incidentes (consultado el 20/05/2026) solicitando a los usuarios afectados que presenten reclamaciones; las perspectivas de recuperación son inciertas en el momento de redactar este informe.

Si tenías pensado usar RetoSwap u otra bifurcación de Haveno para intercambiar XMR, pero aún no habías comenzado la operación, lo más prudente es esperar a que se publique la versión parcheada de Haveno y a que se realice una revisión de seguridad sin incidencias antes de volver a participar.

¿Dónde intercambiar XMR mientras se calma la situación?

Si necesita entrar o salir de XMR en los próximos días, la categoría más segura, dado el modo de fallo específico que acaba de producirse, es un swap de transferencia directa sin custodia que no agrupe las garantías de los usuarios en un depósito en garantía compartido.

Propiedad Horquillas RetoSwap / Haveno Intercambio centralizado Intercambio de fantasmas
Modelo de custodia Depósito en garantía multifirma 2 de 3 (agrupado) La casa de cambio mantiene fondos Transferencia sin custodia (por intercambio)
Cuenta / KYC Se requiere una cuenta para algunas bifurcaciones. Se requiere KYC Sin cuenta, sin verificación de identidad (KYC)
Modo de fallo en caso de explotación Múltiples operaciones en vuelo agotaron las existencias. Todos los fondos de los usuarios están en riesgo. Como máximo, un único intercambio en vuelo.
Finalización típica De horas a días (emparejamiento P2P) Acta (libro interno) Normalmente, ~8 minutos (p50); hasta ~30 minutos (p95) según las métricas del producto GhostSwap.
Estado al 21/05/2026 En pausa / en revisión Paises Donde Paises Donde

GhostSwap es un exchange de criptomonedas sin verificación de identidad (KYC). No se requiere cuenta, correo electrónico ni registro. Los fondos se gestionan sin custodia; nunca los retenemos. El servicio admite 1,600 pares en las principales redes L1 y L2 (datos del producto obtenidos el 21/05/2026), con precios de tipo variable basados ​​en la liquidez agregada de los principales mercados de criptomonedas. El tiempo medio de finalización de un intercambio suele ser de unos 8 minutos en el percentil 50, y de hasta unos 30 minutos en el percentil 95, dependiendo de la congestión de la cadena (según las métricas del producto GhostSwap).

Esto no significa que GhostSwap sea inmune a todo tipo de fallos; ningún servicio de intercambio lo es. Se trata de una descripción de la diferencia estructural: cada intercambio es un proceso aislado sin un fondo de depósito compartido, por lo que el tipo específico de vulnerabilidad que dejó sin fondos a RetoSwap no se aplica.

Cómo intercambiar XMR en GhostSwap o volver a él

  1. Ve al widget de intercambio en el Página de inicio de GhostSwapNo se requiere la creación de una cuenta.
  2. Elige tu par. Para BTC → XMR, consulte la Página del par BTC a XMR para cotizaciones en vivo y notas específicas de pares. Para otras entradas, consulte La lista completa de parejas está disponible en ghostswap.io..
  3. Introduce tu dirección de recepción de XMR y una dirección para reembolsos. La dirección de reembolso es donde se devuelven los fondos si el intercambio no se puede completar. Verifique ambas direcciones: las direcciones de Monero son largas y un solo carácter erróneo impide la recuperación de los fondos.
  4. Envíe la moneda ingresada a la dirección de depósito que se muestra. GhostSwap detecta el depósito en la cadena y enruta el intercambio a través de la liquidez agregada. La finalización suele tardar unos 8 minutos en el p50 y hasta unos 30 minutos en el p95 (según las métricas del producto GhostSwap), dependiendo del tiempo de confirmación de la cadena de origen.
  5. Los XMR llegan a tu billetera. Sin necesidad de retirar fondos, sin saldo de cuenta que gestionar.

Para los usuarios que provienen de un flujo de trabajo de Haveno o RetoSwap, la principal diferencia es que no hay una contraparte a la que esperar ni un árbitro en el proceso: el intercambio es una ruta directa, no una operación intermediada.

Preguntas Frecuentes

P: ¿Monero se ve afectado por la vulnerabilidad RetoSwap?
R: No. Desarrolladores principales de Monero Confirmado el 20 de mayo de 2026. que el protocolo, las firmas de anillo y el despliegue de FCMP++ no se ven afectados. El error reside en la lógica de custodia de la capa de negociación de Haveno, no en Monero.

P: ¿Recuperaré mis fondos si estaba en RetoSwap durante el período de drenaje?
A: No está claro. RetoSwap tiene publicó una página de respuesta a incidentes Para los usuarios afectados, las perspectivas de recuperación dependen de lo que se pueda rastrear y recuperar. Considere cualquier recuperación como incierta hasta que RetoSwap publique detalles específicos.

P: ¿Cuánto tiempo suele tardar un intercambio típico de XMR con GhostSwap?
R: Normalmente, unos 8 minutos en el percentil 50, hasta unos 30 minutos en el percentil 95 (según las métricas de producto de GhostSwap obtenidas el 21/05/2026), dependiendo del tiempo de confirmación de la cadena de origen. La conversión de BTC a XMR está limitada principalmente por la confirmación de BTC; las conversiones de ETH a XMR y SOL a XMR suelen ser más rápidas.

P: ¿GhostSwap requiere una cuenta o verificación de identidad (KYC) para intercambiar XMR?
R: No. No se requiere cuenta, correo electrónico ni verificación de identidad. Usted proporciona una dirección de recepción y una dirección de reembolso opcional; los fondos se transfieren sin custodia.

Cierre

El desplome de RetoSwap nos recuerda que el modelo de custodia importa más que el marketing. Si desea mover XMR en los próximos días sin riesgo de depósito en garantía agrupado, un swap de transferencia directa sin custodia es la opción más conservadora. Consulta las tarifas en tiempo real en la página principal de GhostSwap. o navegar el par BTC a XMR.

Para obtener más información sobre lo que significa en la práctica el término "no custodia", consulte nuestra explicación sobre el intercambio de bienes con custodia frente al intercambio sin custodia.