Los ciberdelincuentes siguen teniendo a las plataformas que usan criptomonedas como uno de sus principales objetivos en este 2022, conocedores de que albergan importantes sumas para llenar sus bolsillos. Y entre estos proyectos que están en su punto de mira también están los llamados juegos 'play-to-earn', en los que los jugadores tienen la posibilidad de ganar criptoactivos.
Así, ha sido uno de estas plataformas, Axie Infinity, en las que se ha dado la que hasta la fecha es la mayor operación de robo de criptomonedas. Axie Infinityes una especie de Pokémon de los NFT, donde los usuarios pueden poseer estos activos y entrenarlos.
Axie Infinity opera con su propia criptodivisa y su propia red de blockchain, Ronin, creada por la compañía vietnamita Sky Mavis. Este conecta con el de Ethereum mediante un puente para poder transferir tokens entre ambas cadenas de bloques. Y ahí es donde reside la clave de este robo.
Según han comunicado los responsables de Ronin, el puente se ha visto comprometido. Los cibermalos han comprometido sus nodos de validación y los nodos de validación de Axie.
Fruto de ello, los ciberdelincuentes se habrían hecho con 173.600 ETH y 25,5 millones de USDC (criptomoneda estable vinculada al dólar). Así, la cuantía del robo ascendería a unos 615 millones de dólares en total.
Escasos validadores
Uno de los principales problemas habría sido la poca cantidad de validadores (o intermediarios para aprobar las operaciones) que tenía la red Ronin. Eran solo nueve y los actores de amenazas tomaron el control de cinco de ellos.
“El esquema de la clave del validador está configurado para ser descentralizado, de modo que limite un vector de ataque, similar a este, pero el atacante encontró una puerta trasera a través de nuestro nodo RPC libre gas, del cual abusaron para obtener la firma del validador Axie DAO.”, han explicado desde Sky Mavis.
Ronin descubrió el ataque después de que un usuario se quejara de que no podía retirar fondos del puente, pero el incidente se habría dado hace una semana.
Con el fin de evitar el colapso, los responsables de Axie Infinity disminuyeron la emisión de tokens. Ronin también pausó su funcionalidad para impedir que hubiera más vectores de ataque.