Un ingeniero senior de Axie Infinity fue el punto de entrada para el hackeo de 625 millones de dólares en criptomonedas a la cadena Ronin, luego de que este fuera engañado con una oferta de trabajo en una empresa falsa.
De acuerdo con The Block, hasta ahora el incidente se había relacionado por el gobierno de Estados Unidos con el grupo de piratería de Corea del Norte, Lazarus, pero no se habían dado muchos detalles de cómo se había realizado el hackeo, algo que el medio puede informar gracias a dos personas con conocimiento directo del asunto.
Una oferta de trabajo falsa desencadenó el ataque
The Block señala que a principios de año, el personal del desarrollador de Axie Infinity, Sky Mavis, fue abordado por un grupo de personas que "representaban" a la compañía falsa, animándolos a solicitar puestos de trabajo, realizando los acercamientos con los trabajadores a través de LinkedIn.
Tras varias rondas de entrevistas, al ingeniero en cuestión se le ofreció un trabajo con compensaciones "extremadamente generosas". La oferta falsa se le dio a conocer a través de un documento PDF que llevaba un spyware, mismo que el ingeniero descargó, permitiendo que el virus se infiltrara en los sistemas de Ronin.
Tras esto, los hackers pudieron atacar y tomar control de cuatro de los nueve validadores de la red Ronin que aprueban las transacciones, pero todavía les faltaba uno para poder realizar movimientos. Esto fue detallado por la propia Sky Mavis en su blog, señalando que en ese momento el umbral del validador era cinco de los nueve disponibles para las transacciones
Sin embargo, este requisito significaba que además de tomar control sobre estos cuatro validadores, todavía necesitaban uno adicional, que finalmente obtuvieron de Axie DAO, un grupo creado para apoyar el ecosistema de juegos, a quien Sky Mavis había solicitado ayuda para hacer frente a la gran carga de transacciones en noviembre de 2021.
Esto significaba que Axie DAO se encontraba en la lista de validadores permitidos para firmar transacciones a nombre de Sky Mavis, y a pesar de suspenderse la autorización en diciembre de 2021, el acceso a la lista no se revocó, por lo que una vez que obtuvieron acceso a los sistemas de la compañía, también lo tuvieron al validador adicional.
Mayor seguridad para reducir el riesgo
En su momento Sky Mavis señaló que sus empleados se encontraban bajo constantes "ataques avanzados de phishing" en varios canales sociales, y que uno de ellos se había visto comprometido.
Además detallaron que el trabajador ya no laboraba dentro de la compañía, y que los atacantes habían aprovechado el acceso para penetrar la infraestructura de TI de Sky Mavis, obteniendo el acceso a los nodos de validación.
Según The Block, apenas un mes del ataque, la empresa había aumentado el número de sus nodos de validación a 11 y su objetivo a largo plazo era tener más de 100.
Por otro lado, ESET Research dio a conocer una investigación señalando que Lazarus había estado utilizando LinkedIn y WhatsApp, haciéndose pasar por reclutadores, y enfocándose en contratistas aeroespaciales y de defensa, aunque el informe no menciona que se utilizara este método en Sky Mavis.
Las acciones de Axie Infinity tras el ataque
Desde finales de junio, Sky Mavis ha estado reembolsando a los usuarios que fueron hackeados en su plataforma, aunque eso sí, por la caída en el precio de las criptomonedas, los fondos recuperados tienen aproximadamente un tercio de su precio al momento del robo.
La empresa había recaudado junto a Binance y Andreessen Horowitz 150 millones de dólares con la intención de poder pagar a las víctimas, y hasta ahora, una gran parte del dinero no ha sido recuperado, pero sí se lograron detener las transferencias de 5.8 millones de dólares que se estaban moviendo a través de Binance.
