Haveno

Haveno es la plataforma de intercambio P2P descentralizada de XMR / fiat — el sucesor nativo de Monero a Bisq, construido sobre Tor con depósito en garantía multifirma en cadena, sin operador central y sin KYC. Listado en Grado A · elección del editor, con la calificación actualmente mantenida pendiente de una ventana de 90 días sin incidentes y un post-mortem operacional publicado tras el exploit de protocolo del 2026-05-20 — consulta la sección Incidente a continuación antes de abrir nuevos intercambios. La postura estructural de privacidad (P2P, solo Tor, multifirma, no custodial) sigue siendo la más fuerte en la categoría de intercambio, pero el exploit demostró una superficie de ataque real a nivel de protocolo en el flujo multifirma.

Contexto. Haveno es el protocolo de código abierto, principalmente escrito por woodser (el desarrollador principal que ha sido la cara pública del proyecto desde la bifurcación de Bisq). Haveno en sí no opera una red — es software que instalas (cliente de escritorio para Linux / macOS / Windows) que se conecta a una de varias redes independientes, gestionadas por la comunidad, con sus propios árbitros y nodos semilla. Los operadores notables incluyen Haveno-Reto / RetoSwap (haveno-reto.com, retoswap.com — la red pública de mayor liquidez) y un pequeño puñado de otros. Cada red puede establecer sus propias políticas de arbitraje, listas blancas de métodos de pago y tarifas. La liquidez se concentra en Haveno-Reto / RetoSwap. Código en github.com/haveno-dex/haveno.

En qué confías. Arquitectura: transporte solo Tor entre pares; monedero no custodial (Monero, multifirma); el usuario mantiene sus propias claves durante todo el proceso. Depósito en garantía multifirma: los intercambios utilizan multifirma Monero 2-de-3 — comprador, vendedor y árbitro — de modo que el árbitro solo firma para liberar los fondos si una disputa escala, y no puede mover fondos unilateralmente en el flujo normal. En qué no tienes que confiar: sin custodia del operador sobre XMR durante el intercambio en el camino feliz, sin KYC centralizado del comprador o vendedor, sin cuenta central; el registro es el acto de instalar el cliente. En qué *sí* tienes que confiar: la implementación del protocolo multifirma (que el exploit de 2026 demostró que no es trivial — ver Incidente); la integridad del árbitro de la red a la que te unes (diferentes operadores ejecutan diferentes árbitros con diferentes reputaciones); y la parte del pago fiat, que ocurre fuera de Haveno (efectivo por correo, SEPA, Zelle, Wise, etc. — cada uno con sus propias propiedades de KYC + privacidad).

Incidente — 2026-05-20. Severidad: alta. Un exploit a nivel de protocolo que utilizó mensajes ACK de árbitro falsificados permitió a un atacante secuestrar los monederos multifirma 2-de-3 antes de que los depósitos pudieran bloquearse, drenando fondos de ofertas activas (las ofertas cripto grandes fueron el objetivo principal). Aproximadamente 7,000 XMR (~$2.7M) perdidos entre los usuarios afectados de RetoSwap — el operador principal impactado. La respuesta fue rápida y transparente: el desarrollador principal woodser divulgó públicamente el exploit activo, RetoSwap suspendió el comercio y prohibió al atacante, y se publicó un parche de emergencia (Haveno v1.5 / RetoSwap v1.6.0-reto) en días — una verificación defensiva dirigida que verifica la identidad del par en el flujo de mensajes ACK. El comercio se pausó en toda la red mediante la versión mínima forzada del cliente. Los fondos no se habían recuperado a la fecha de esta revisión (2026-05-25); el operador no ha descartado una recuperación parcial y la ventana del incidente sigue abierta. La red está volviendo a operar bajo el protocolo parcheado, pero la liquidez se ha visto afectada. Consejo del curador: no abras nuevas ofertas en ningún operador Haveno hasta que tu cliente informe de un aumento de versión mínima que confirme que el parche está activo; si tienes ofertas pendientes, haz una copia de seguridad de tu monedero y sigue el aviso de tu operador.

Especificaciones operativas. Superficies: cliente de escritorio (Linux + macOS + Windows). Monedas: XMR principal; fiat mediante arreglo P2P (sin fiat en cadena — el comprador envía fiat fuera de la cadena, el vendedor libera XMR del multifirma). Métodos de pago (negociados por oferta): efectivo por correo, SEPA, Zelle, Wise, Revolut, Strike, Pix, Interac, ACH, Faster Payments, Bizum, Paysera, F2F (cara a cara) y muchos más. Tarifas: spread maker/taker por oferta + tarifa del operador de red (varía por operador). Límites de comercio: por operador y por método de pago (se admiten pequeños intercambios sin depósito en algunos flujos). Acceso a la red: solo Tor. Programa de recompensas para desarrollo financiado en XMR.

Filosofía. El diferenciador editorial de Haveno es la apuesta por P2P + multifirma + Tor como la única rampa fiat-XMR estructuralmente no custodial. Los exchanges centralizados custodian tus fondos durante el intercambio y requieren KYC; los agregadores lo reducen a una ventana de custodia en la capa de enrutamiento pero aún tocan tus fondos; Haveno nunca custodia — el depósito en garantía es multifirma Monero en cadena, firmado por ti. Ese compromiso arquitectónico es lo que hace de Haveno la rampa fiat canónica centrada en la privacidad y lo que lo hace más complejo de operar de forma segura que un intercambio centralizado (el flujo multifirma tiene más partes móviles, como demostró 2026-05).

Justificación de la calificación (mantenida pendiente de reevaluación). Grado A y elección del editor se basan en: arquitectura multifirma no custodial; transporte solo Tor; operadores independientes impulsados por la comunidad; código abierto + programa de recompensas; ausencia de KYC a nivel de operador; equipo de larga trayectoria (woodser ha estado en el proyecto desde la era de la bifurcación de Bisq). El incidente de mayo de 2026 introduce una verdadera cuestión de calificación — un exploit con impacto de $2.7M en usuarios es un evento sustantivo según cualquier rúbrica — parcialmente compensado por la respuesta rápida y transparente y el parche de protocolo publicado en días. xmr.club mantiene el Grado A con un disparador concreto de reevaluación: una ventana mínima de 90 días de operación sin incidentes bajo el protocolo parcheado *y* un post-mortem publicado por el operador. Si falta alguno en la marca de los 90 días, la calificación se reduce a B con la justificación publicada en /incidents. El distintivo de incidente permanece destacado en la ficha durante todo el proceso.

Útil cuando. Quieres intercambiar XMR por fiat (o viceversa) en un flujo no custodial y sin KYC, y entiendes los compromisos del P2P (liquidez variable, requiere paciencia, la parte fiat utiliza raíles de pago tradicionales con su propio KYC). Quieres la postura de privacidad más fuerte disponible en la categoría de intercambio — acepta la complejidad operativa por esa propiedad. Te sientes cómodo instalando un cliente de escritorio y configurando Tor. Quieres apoyar la tesis del intercambio descentralizado con tu volumen real de comercio.

Advertencias. Consciente del incidente: consulta la sección de Incidente arriba. No abras nuevas ofertas hasta que el cliente mínimo parcheado esté aplicado en la red de tu operador. La liquidez es menor que en los intercambios centralizados — espera tener que esperar una coincidencia de contraparte, y los intercambios grandes (>50 XMR) pueden no encontrar tomadores rápidamente. Solo escritorio — sin móvil, sin web. La privacidad de la parte fiat depende del método de pago que elijas — el efectivo por correo es el más privado; SEPA / Zelle / Wise conllevan KYC completo a nivel bancario en el lado fiat. La resolución de disputas multifirma lleva tiempo — cuando un intercambio se tuerce, el proceso de arbitraje puede llevar días; esta no es una experiencia de "intercambio instantáneo". La elección de red importa — diferentes operadores tienen diferente calidad de árbitro, estructuras de tarifas y fiabilidad. Haveno-Reto / RetoSwap tiene la mayor liquidez pero también fue el operador más golpeado por el exploit de mayo de 2026. El riesgo de protocolo es real — mayo de 2026 demostró que un ataque sofisticado a nivel de protocolo es posible contra flujos de intercambio multifirma, y el compromiso arquitectónico con la multifirma significa que no se pueden descartar estructuralmente futuras vulnerabilidades similares; el modelo de parche es "encontrar, arreglar, publicar aumento de versión mínima" en lugar de "ninguna superficie de ataque en primer lugar".