Actualización del Incidente de Seguridad Binance

2019-05-10

Me gustaría compartir algunas actualizaciones sobre el incidente de seguridad. Entendemos que la situación es difícil para nuestra comunidad. Nos esforzamos por mantener el más alto grado de transparencia; sin embargo, comprendan también que los hackers (piratas informáticos) están leyendo cada palabra que publicamos y observando cada AMA que publicamos. Compartir demasiados detalles de seguridad en realidad debilita nuestra estrategia de respuesta de seguridad.

Tengan la seguridad de que nuestro equipo está progresando. Aprovechamos esta oportunidad para renovar significativamente algunas de nuestras medidas de seguridad, procedimientos y prácticas. Con el objetivo de reanudar los depósitos y retiros lo antes posible, algunos de los cambios se realizarán dentro de la ventana de esta semana, y luego se agregarán muchos otros cambios.

Estamos realizando cambios significativos en las áreas de validación de API, 2FA y retiro, que fue un área explotada por hackers durante este incidente. Estamos mejorando nuestra gestión de riesgos, análisis de comportamiento del usuario y procedimientos KYC (Know Your Customer). Estamos trabajando en formas más innovadoras para combatir el phishing. También tenemos una serie de medidas de seguridad adicionales no directamente visibles en el front-end.

Muy pronto, agregaremos soporte para dispositivos de hardware, como YubiKey y otros dispositivos. Organizaremos un evento y regalaremos 1,000 YubiKeys tan pronto como se implemente esta característica.

Por lo que respecta al impacto, la única transacción BTC de aproximadamente 7000 BTC es la única transacción en la que se robaron fondos, y es bastante sencillo verificar esto en la cadena de bloques. Hay muchos expertos de la comunidad mirando cada billetera de Binance. Todavía estamos investigando todas las demás áreas del sistema para asegurarnos de que no quede piedra sin remover. Además, estamos trabajando con una docena de equipos de expertos en seguridad líderes en la industria para ayudar a mejorar nuestra seguridad y rastrear a los piratas informáticos.

Muchas empresas de seguridad y análisis de blockchain nos ayudan activamente a rastrear los fondos robados. También estamos trabajando estrechamente con muchos intercambios y otros proveedores de servicios para congelar los fondos robados. Ya es una especie de alianza. Tenemos algunas ideas para contribuir más en este frente después de superar este incidente.

Mentalmente, el equipo de Binance no está triste ni deprimido; por el contrario, estamos en modo de lucha. Este evento ha unido aún más a un equipo ya apretado. Hemos recibido un gran apoyo de nuestra comunidad y nos sentimos humildes por su apoyo. Seguiremos luchando por todos nosotros, la comunidad, contra hackers y personas con malas intenciones. Creo que este incidente, si bien nos está dañando ahora, nos hará mucho más fuertes y seguros a largo plazo.

Mantendremos comunicación constante con nuestra comunidad. Yo (CZ) estoy activo en Twitter. De hecho, algunas personas incluso dicen que tweeteo demasiado. Pero mi papel es de un facilitador y comunicador. Honestamente, no estoy escribiendo código ni debugging servidores. Dado lo mucho que hablo, a veces digo cosas equivocadas, malas palabras como "reorg", por lo que me disculpo. Mi firme opinión es que nuestra comunicación constante y transparente es lo que nos diferencia de la "antigua forma de hacer las cosas", incluso y especialmente en tiempos difíciles.

Tentativamente, estamos tratando de reanudar los retiros y depósitos a principios de la próxima semana. Todavía tenemos una gran cantidad de tareas y pruebas que hacer, y estamos trabajando todo el día en ello.

Una vez más, le agradecemos su apoyo incondicional durante estos tiempos difíciles. Vamos a seguir luchando.

- CZ