Ronin, la cadena de bloques (blockchain) detrás del juego 'Axie Infinity', uno de los más populares de NFTs, ha sido víctima de un hackeo en el que se han robado lo equivalente a 625 millones de dólares en criptodivisas.
De acuerdo con el desarrollador Sky Mavis, el ataque se dio el pasado 23 de marzo, pero no había sido descubierto hasta hoy, ya que un usuario no podía retirar 5,000 ETH del puente Ronin. Para lograr el ataque se usaron "llaves privadas hackeadas", aprovechando una vulnerabilidad en el servicio, falsificando las transacciones y robando los fondos, de forma similar a como sucedió con el ataque de Wormhole a principios de febrero.
Del ataque en total se obtuvieron 173,600 Ethereum (equivalentes a unos 600 millones de dólares) y 25,5 millones de dólares en USDC (una moneda estable vinculada al dólar) del puente Ronin en dos transacciones diferentes, donde se vieron comprometidos los nodos de validación Ronin de Sky Mavis y de Axie DAO.
Según detalla Ronin, la cadena de Sky Mavis consta de nueve nodos de validación, y para reconocer un depósito o retiro se requieren de cinco de las nueve firmas del validador. El atacante pudo controlar cuatro de Sky Mavis y uno más de Axie DAO.
También señalan que a pesar de que el sistema está configurado para limitar un ataque de este tipo, el responsable logró encontrar una puerta trasera para obtener la firma adicional necesaria para validar la transacción.
Así están actuando para solucionarlo
Cómo resultado de la vulnerabilidad, Ronin menciona que están tomando medidas activas para protegerse contra futuros ataques, aumentando el umbral de validadores de cinco a ocho. También se estarán contactando con los equipos de seguridad de los intercambios y migrarán sus nodos a una nueva infraestructura.
Adicionalmente entre las medias se detuvo temporalmente el puente Ronin para evitar más vectores de ataque y Binance deshabilitó su puente hacia/desde Ronin, que se abrirá nuevamente una vez que estén seguros no se puedan drenar fondos.
Por último Ronin ha declarado que se encuentran trabajando con Chainalysis, con la intención de monitorear los fondos robados y se está colaborando con agencias gubernamentales, así como con criptógrafos forenses e inversores para garantizar que los culpables sean llevados ante la justicia.
La compañía también informó que los tokens axie que los jugadores compran para acceder al juego, no se han visto comprometidos, ni las criptomonedas SLP y AXS que se usan para combatir y criar a las mascotas, pero por lo pronto no se pueden ni retirar o depositar recursos en Ronin Network y todos los fondos que sean agotados serán recuperados o reembolsados.
Imágenes: Axie Infinity
