En mayo de 2026, varias aplicaciones relacionadas con Monero fueron vulneradas, incluida una plataforma de negociación de derivados de Haveno. Ninguno de estos incidentes comprometió el protocolo base de Monero. El núcleo criptográfico que gestiona la confidencialidad (firmas de anillo, RingCT, direcciones ocultas) no se vio afectado; los fallos residían en el código de las aplicaciones, la coordinación de multifirmas y las prácticas operativas relacionadas con el protocolo.
TL; DR: Monero en sí no fue víctima de ningún ataque en mayo de 2026. Los incidentes afectaron a aplicaciones basadas en Monero o relacionadas con él: plataformas de negociación, servicios federados y coordinadores de multifirma. Si se intercambia XMR, las garantías de privacidad de la capa base permanecen inalteradas. La lección radica en determinar en qué capa de aplicación se confía.
Lo que realmente sucedió en mayo de 2026
Un conjunto de incidentes afectó al software relacionado con Monero durante el mes. El más comentado fue una vulnerabilidad activa en el software de comercio Haveno, reportada en r/Monero el 21/05/2026 y rastreado en Haveno PR #2315El ataque afectó al menos a un operador de la red. Según el hilo público de Reddit, el ataque consistió en mensajes de confirmación falsos que suplantaban la identidad del árbitro, lo que permitió al atacante influir en la configuración de la billetera multifirma antes de que se depositaran los fondos. Se recomendó a los operadores de la red que suspendieran las operaciones mientras se desarrollaba una solución.
La cuantía de las pérdidas no se hizo pública en el momento de la notificación, y la solución se detalla en la solicitud de extracción vinculada. Citamos el informe público y el parche original; no confirmamos ningún otro detalle que no esté incluido en esas URL.
Ninguno de estos incidentes afectó al protocolo de capa base de Monero. Blog del proyecto Monero No se publicó ningún aviso a nivel de protocolo relacionado con estos eventos, y los contribuyentes de Monero no informaron de ninguna reorganización de la cadena, ninguna violación de la confidencialidad ni ningún fallo de consenso durante ese período.
Por qué la capa base seguía funcionando
La capa base de Monero separa claramente las responsabilidades:
- Firmas de anillo Oculta qué gasto realizaste entre un conjunto de señuelos.
- ringct oculta la cantidad. Era Introducido en la red principal en enero de 2017. (consultado el 28 de mayo de 2026).
- Direcciones sigilosas esconde el receptor.
Estas tecnologías básicas llevan años en producción y, hasta donde sabemos, no se ha informado públicamente de ninguna brecha criptográfica que comprometa la confidencialidad de RingCT en la cadena de bloques de Monero. Los errores en la aplicación —cálculos erróneos de comisiones, peculiaridades de la interfaz gráfica, regresiones en la sincronización de la billetera— ocurren y se corrigen, pero no anulan las garantías de confidencialidad en la cadena de bloques.
La capa de aplicación es un caso aparte. Generalmente es más reciente, menos sometida a revisión por pares (en nuestra opinión) y combina muchos componentes: código de interfaz gráfica de usuario, coordinación de red, flujos multifirma, árbitros externos e infraestructura del operador. Ahí es donde se produjeron los incidentes de mayo de 2026.
¿Qué significa esto para los usuarios de intercambio?
Si intercambias XMR a través de un servicio sin custodia, la pregunta clave es qué sucede con tus fondos durante los pocos minutos que dura el intercambio. Un intercambio sin custodia implica que los fondos se transfieren directamente en lugar de permanecer en un depósito en garantía de un tercero. Cuanto más corto sea el tiempo de transferencia y menor la coordinación necesaria, menor será la superficie de ataque.
| Superficie | Perfil de riesgo | Notas |
|---|---|---|
| Capa base Monero | Estable | Hasta la fecha no se ha producido ninguna violación de la confidencialidad en la producción que se haya hecho pública. |
| Software de billetera | Moderado | Los errores se corrigen; mantén tus billeteras actualizadas. |
| Servicios multifirma federados | Más alto | La lógica de coordinación es un objetivo en constante evolución; véanse los incidentes de mayo de 2026. |
| Intercambios custodios que poseen XMR | Mayor | Los fondos se encuentran en la plataforma; riesgo de contraparte y de exclusión de cotización. |
En el caso específico de los swaps, es preferible utilizar plataformas sin custodia en lugar de aquellas que gestionan depósitos en garantía. Un servicio de swaps que no retiene fondos elimina por completo ese riesgo.
Cómo reducir el riesgo del ecosistema al intercambiar XMR
- Utilice una ruta de intercambio sin custodia. GhostSwap es un exchange de criptomonedas sin KYC: sin cuenta, sin correo electrónico, sin registro. Los fondos se transfieren directamente y nunca los retenemos. Puedes empezar en nuestra Página de intercambio de BTC a XMR o el widget en vivo en el página de inicio.
- Verifique usted mismo la dirección de destino. Pega la dirección Monero receptora de tu propia billetera. No confíes en un proceso de copiar y pegar que involucre a un árbitro externo que configure la multifirma por ti.
- Mantén actualizado el software de tu billetera. La mayoría de los problemas de la capa de aplicación se solucionan rápidamente una vez que se detectan.
- Prefiero las topologías de intercambio más sencillas. Dos partes (usted y el servicio de intercambio), una cotización a tipo de cambio variable, una liquidación en la cadena de bloques. El modelo que utiliza GhostSwap consiste en la agregación de liquidez de los principales mercados de criptomonedas a un tipo de cambio variable, lo que evita los problemas de coordinación que surgieron en mayo.
Preguntas Frecuentes
P: ¿Monero fue hackeado en mayo de 2026?
R: No. El protocolo de capa base de Monero no fue vulnerado. Los incidentes afectaron a aplicaciones desarrolladas sobre o relacionadas con Monero, no a la cadena en sí. No hemos recibido informes de ninguna brecha a nivel de protocolo durante este período.
P: ¿Sigue siendo seguro conservar o intercambiar XMR?
A: Las protecciones criptográficas que garantizan la privacidad de XMR (firmas de anillo, RingCT, direcciones ocultas) no se vieron afectadas por los incidentes de mayo de 2026. El riesgo se concentra en la capa de aplicación (billeteras, plataformas de negociación, coordinadores de multifirma), por lo que la opción más segura es elegir herramientas con menor superficie de ataque.
P: ¿Cómo puedo intercambiar XMR desde o hacia sin tener una cuenta?
A: GhostSwap admite intercambios de XMR sin registro. Sin cuenta, sin correo electrónico, sin verificación de identidad. Más de 1,600 pares compatibles en más de 200 activos. El tiempo medio de finalización es de alrededor de 8 minutos, variando según la congestión de la cadena. Consulte la Página del par BTC a XMR o el widget de intercambio en el página de inicio.
P: ¿Debería mantener XMR en una plataforma de trading?
R: Es una decisión personal, pero mantener XMR en cualquier plataforma te expone al riesgo operativo de esa plataforma. Las carteras sin custodia que controlas reducen ese riesgo, y los swaps sin custodia evitan generarlo desde el principio.
Cierre
Los incidentes de mayo de 2026 nos recuerdan que la mayor parte del riesgo operativo reside en la capa de aplicación sobre Monero, no en la cadena en sí. Si desea seguir intercambiando XMR con la menor superficie de ataque posible, utilice una ruta sin custodia y verifique sus propias direcciones.
Iniciar un intercambio en el Página de inicio de GhostSwap o ir directamente a la Página del par BTC a XMR.
