Una criptomoneda afiliada al popular juego play-to-earn basado en la blockchain, Axie Infinity, ha sido hackeada en uno de los mayores robos de criptomonedas de la historia.
La red Ronin es una blockchain lanzada en febrero de 2021 para hacer que interactuar con Axie Infinity, basado en Ethereum, sea un poco menos costoso. Mientras que hacer cualquier cosa en Ethereum cuesta comisiones, Ronin permite 100 transacciones gratuitas al día, por usuario. Axie Infinity es popular en Filipinas, por ejemplo, donde los usuarios trabajan en el juego a cambio de tokens, a menudo en nombre de personas o empresas que pueden emplear a docenas o cientos de los llamados «becarios».
En una entrada de blog publicada el martes, Ronin reveló que había sido víctima de una brecha de seguridad que ha drenado 500 millones de dólares en cripto.
Los piratas informáticos fueron capaces de explotar el puente de Ronin y hacerse con 173.600 ETH (por valor de unos 602.358.367 dólares) y 25,5 millones de dólares de la stablecoin USDC en dos transacciones separadas tomando el control de los nodos validadores de la blockchain. Los nodos validadores verifican y aprueban las transacciones en el modelo Proof-of-Authority (PoA) de Ronin, que difiere del proceso descentralizado de minería y aprobación empleado por Bitcoin. Ronin cuenta con nueve nodos validadores, cinco de los cuales son necesarios para aprobar cualquier depósito o retirada.
Según el blog, los piratas informáticos «utilizaron claves privadas pirateadas para falsificar retiradas». Los atacantes encontraron una puerta trasera en el nodo RPC sin gas gestionado por Sky Mavis -la empresa propietaria de Axie Infinity- que les permitió hacerse con el control de un nodo validador vinculado al DAO de Axie después de que éste ayudara a Sky Mavis a distribuir transacciones gratuitas en noviembre de 2021 durante una sobrecarga de usuarios, según la publicación del blog de Ronin. Con el nodo validador de Axie DAO y los cuatro controlados por Sky Mavis, los atacantes pudieron aprobar las dos transacciones.
En el futuro, la empresa aumentará el umbral de consenso de los nodos validadores a ocho de nueve, así como el número de validadores. Sky Mavis también está trabajando con Chainalysis, con los equipos de seguridad de los principales cambios y con «los agentes de la ley, los criptógrafos forenses y nuestros inversores» para recuperar los fondos o reembolsarlos. Tanto el puente de Ronin como el intercambio descentralizado conectado a él (Katana DEX) han sido desactivados por ahora.
«Como hemos sido testigos, Ronin no es inmune a la explotación y este ataque ha reforzado la importancia de priorizar la seguridad, permanecer vigilantes y mitigar todas las amenazas», dijo el equipo de Ronin en la entrada del blog. «Sabemos que la confianza hay que ganársela y estamos utilizando todos los recursos a nuestro alcance para desplegar las medidas y procesos de seguridad más sofisticados para prevenir futuros ataques.»
«Estamos trabajando con los agentes de la ley, los criptógrafos forenses y nuestros inversores para asegurarnos de que no haya pérdidas de fondos de los usuarios. Esta es nuestra máxima prioridad en este momento», afirma el blog.
Es probable que éste no sea el último de los problemas de Sky Mavis. Durante los últimos meses, Axie Infinity ha estado luchando a medida que sus tokens y NFTs han caído dramáticamente en el precio, estrangulando la economía en el juego y forzando cambios drásticos en un intento desesperado por evitar un colapso.