Axie Infinity sufre un ataque se salda con el robo de más de 560 millones de euros en criptomonedas
Una brecha de seguridad en Ronin Network, la cadena de 'blockchain' que utiliza el juego de NFT Axie Infinity, ha sido el objetivo de un ataque que se ha saldado con el robo de más de 560 millones de euros en criptomonedas.
En concreto, Ronin Bridge, el puente que conecta la cadena lateral de Axie Infinity, Ronin Network, con Ethereum ha sido explotado por 173.600 Ethereum (más de 530 millones de euros al cambio actual) y 25,5 millones de USD Coin, lo que se traduce en unos 560 millones de euros en total.
Según ha informado Ronin en un comunicado, este este martes descubrió que el pasado 23 de marzo los nodos de validación de Sky Mavis, la desarrolladora del videojuego de tokens no fungibles (NFTs) Axie Infinity, y los nodos de validación Axie DAO se vieron comprometidos.
La compañía descubrió esta brecha de seguridad tras recibir un aviso por parte de un usuario, que no pudo retirar 5k de Ethereum del mencionado puente.
Al parecer, el atacante, que realizó dos transaciones en total, utilizó claves privadas, a las que había tenido acceso previamente, para acceder al sistema y justificar los retiros de cripromonedas.
La cadena de bloques Ronin de Sky Mavis está formada por nueve nodos de validación. Para proceder al depósito o al retiro de criptomonedas son necesarias cinco de las nueve firmas de estos validadores.
Debido a que el atacante consiguió controlar los cuatro validadores de Ronin de la desarrolladora de videojuegos y un validador de terceros gestionado po Axie DAO, logró acceder al sistema.
A pesar de que este está configurado para ser descentralizado y, en caso de ataque, aislarlo del resto, el pirata informático logró acceder mediante una puerta trasera de uno de sus nodos y consiguió la firma del validador Axie DAO.
Estos nodos validadores se utilizan para evitar las transacciones fraudulentas. Sin embargo, debido a una alta demanda del juego, Axie DAO dio privilegios especiales a Sky Mavis para firmar transacciones en su nombre en noviembre de 2021.
A pesar de que este permiso concluyó un mes después, en diciembre, la lista de permisos de acceso no se revocó. Por ese motivo, una vez el atacante obtuvo acceso a los sistemas de Sky Mavis, pudo obtener la firma del validador correspondiente.
Tras llevar a cabo una investigación interna, Ronin ha confirmado que la firma de las retiradas de activos digitales coincide con la de los cinco validadores sospechosos.
Con el objetivo de evitar más ataques a corto plazo y proteger su sistema de validación, Ronin ha aumentado el umbral de validadores de cinco a ocho y ha iniciado un proceso de migración de sus nodos, completamente separado de su antigua infraestructura.
"Hemos detenido temporalmente el puente de Ronin para asegurarnos de que no queden abiertos más vectores de ataque", ha señalado en este comunicado, y ha advertido de que ha desactivado temporalmente los puentes de Binance y Katana DEX.
Además, ha adelantado que está trabajando con varias agencias gubernamentales, así como con Chainalysis, una organización que apoya a empresas de criptomoneda y otras instituciones financieras, para supervisar los fondos robados.
Asimismo, ha recordado que todos los tokens de Ethereum que impulsa Axie Infinity (AXS, RON y Smooth Love Potion o SLP) de Ronin están vigilados y a salvo de sufrir un ataque de estas características.
Por el momento, los usuarios no pueden retirar o depositar fondos en Ronin Network. No obstante, Sky Mavis se ha comprometido a recuperar y reembolsar todos los fondos robados.