Las consecuencias del hackeo de USD 650 millones de Axie Infinity
A finales de marzo, Ronin, una sidechain de Ethereum construida para el popular juego play-to-earn de tokens no fungibles Axie Infinity, fue hackeada por más de 173.600 Ether (ETH) y 25,5 millones de USD Coin (USDC) por un valor combinado de más de 600 millones de dólares.
La vulneración en el puente de Ronin fue confirmada por Sky Mavis, los desarrolladores detrás del popular juego play-to-earn (P2E):
There has been a security breach on the Ronin Network.https://t.co/ktAp9w5qpP
— Ronin (@Ronin_Network) March 29, 2022
El informe oficial de la compañía señaló que los hackers lograron acceder a las claves privadas de los nodos validadores, lo que resultó en el compromiso de cinco nodos validadores, que es también el umbral requerido para aprobar una transacción. La cadena Ronin consta actualmente de nueve nodos validadores y el hacker consiguió acceder a cuatro de ellos junto con un validador de terceros gestionado por la organización autónoma descentralizada (DAO) Axie DAO.
La causa del exploit podría remontarse al año pasado, cuando Axie DAO dio acceso a Sky Mavis para que firmara las transacciones en su nombre para mitigar el volumen de usuarios. Sin embargo, este acceso nunca se revocó, lo que finalmente condujo a un acceso de puerta trasera por parte de los hackers que resultó en el hackeo de 600 millones de dólares.
El ataque tuvo lugar el 23 de marzo y se descubrió casi una semana después, cuando los piratas informáticos que lo perpetraron utilizaron los fondos robados para vender en corto Axie Infinity (AXS) y Ronin (RON). Los hackers esperaban ganar más dinero con su hazaña, pensando que la noticia del mayor hackeo de criptomonedas acabaría por hacer caer el mercado, sin embargo, fueron liquidados antes de que se conociera la noticia:
You cannot make this up
Hacker steals $600MM in ETH from Ronin blockchain the one underlying Axie
Hacker then goes short Ronin & AXS (Axie token) knowing as soon as news breaks that tokens will plummet
But NO ONE notices and they get liquidated on short before news breaks
— Eric Golden (@ericgoldenx) March 29, 2022
El puente de Ronin fue cerrado a raíz de esto, con todos los depósitos y retiros detenidos hasta que la investigación se completó y puede tomar varias semanas antes de que el puente se abra para el uso público de nuevo. Los desarrolladores detrás del juego han buscado desde entonces la ayuda de varias bolsas de criptomonedas y del grupo de análisis de criptomonedas Chainalysis para rastrear el movimiento de los fondos y recuperarlos.
Sky Mavis ha descartado que las vulnerabilidades técnicas sean la causa principal del ataque y lo ha achacado a la ingeniería social. Los desarrolladores también prometieron reembolsar y recuperar los fondos robados:
“Este fue un ataque de ingeniería social combinado con un error humano de diciembre de 2021. La tecnología de Sky Mavis es sólida y añadiremos varios validadores nuevos a la Red Ronin en breve para descentralizar aún más la red”, dijo el cofundador y director de operaciones de Axie Infinity, Aleksander Leonard Larsen.
Blanqueo y reembolso
La vulneración del puente de Ronin fue bastante similar a lo que ocurrió en el puente de Wormhole para Solana, donde los explotadores lograron salirse con la suya con criptofondos por valor de 320 millones de dólares de la plataforma de puente cruzado. Más tarde, en febrero, Jump Crypto -una empresa de capital riesgo- sacó de apuros a los usuarios hackeados y les repuso 120.000 ETH.
Sky Mavis había hecho una promesa similar tras el exploit, afirmando que se aseguraría de que los usuarios afectados fueran reembolsados aunque no se recuperaran los fondos perdidos. El 6 de abril, los creadores del popular juego recaudaron 150 millones de dólares liderados por el exchange de criptomonedas Binance y otros inversores.
Un portavoz de Sky Mavis dijo a Cointelegraph:
“De la cantidad total robada, alrededor de 400 millones de dólares pertenecen a los usuarios. La nueva ronda, combinada con los fondos del balance de Sky Mavis y Axie, asegurará que todos los usuarios sean reembolsados”. Los 56.000 ETH comprometidos de la tesorería de Axie DAO permanecerán sin garantía mientras Sky Mavis trabaja con las fuerzas del orden para recuperar los fondos. Si los fondos robados no se recuperan por completo en dos años, la DAO de Axie votará sobre los próximos pasos para la tesorería.”
Muchos en el mundo de las criptomonedas esperaban que, al igual que el explotador de la Red Poly, el hacker detrás del exploit Ronin Bridge acabara devolviendo los fondos robados, ya que es bastante difícil blanquear una cantidad de dinero tan elevada. Sin embargo, no ha habido ninguna prueba de dicha comunicación entre los desarrolladores del juego y los hackers, y la compañía se negó a comentar el estado de dichas comunicaciones.
Elliptic, una empresa de análisis de datos de criptomonedas, ha rastreado 540 millones de dólares de los fondos robados y cree que los hackers ya han comenzado a blanquear el dinero. En primer lugar, el USDC robado fue intercambiado por ETH en los intercambios descentralizados (DEX) para evitar que fuera congelado.
Después de cambiar USDC por ETH, los hackers comenzaron a blanquear el ETH a través de tres exchanges centralizados.
El monedero perteneciente a los hackers del puente Ronin también ha comenzado a enviar fondos a servicios de mezcla de divisas como Tornado Cash. Cabe destacar que el explotador de Poly Network hizo lo mismo al principio, pero finalmente decidió devolver los fondos, ya que blanquear una suma tan grande se hacía cada vez más difícil. Según un informe de PeckShield, los hackers blanquearon fondos por valor de unos 42 millones de dólares, es decir, alrededor del 7,5% del total.
“Hackear es la parte más fácil. La parte más difícil es planificar con suficiente antelación para asegurarse de que el cobro de los fondos se realiza con éxito. Además, cuanto más grande sea el hackeo, más improbable es que los hackers puedan hacerse con todos los fondos”, dijo Jonah Michaels, jefe de comunicaciones de Immunefi, una plataforma de recompensas por errores de Web3.
¿Podría haberse evitado este hackeo?
Aunque no todas las cadenas de bloques son iguales, todas se basan en el principio de descentralización, que garantiza que el poder y la seguridad no se concentren en las manos de una sola entidad. La necesidad de la descentralización se pone de manifiesto en este enorme hackeo a Ronin. Cuando se diseñan sistemas para el público con el objetivo de distribuir el poder y la seguridad, deben ser precisamente eso: distribuidos. El uso de nueve validadores, cuatro de los cuales están controlados por una sola parte, ha demostrado ser inseguro.
Aunque los creadores del juego afirman que el exploit no se produjo por ningún fallo técnico, el hecho de que los hackers consiguieran explotar y conseguir una entrada por la puerta trasera a uno de sus nodos validadores porque los desarrolladores se olvidaron de revocar el acceso al validador de terceros pone de manifiesto, sin duda, un cierto nivel de centralización en el proceso de aprobación de los validadores. Esto finalmente se convirtió en la razón de la pérdida de 600 millones de dólares en criptoactivos.
Para un juego como Axie Infinity, con una valoración de 4.000 millones de dólares y una base de usuarios que se cuentan por millones, los desarrolladores podrían haber hecho algo mejor con la seguridad de los puentes cruzados, especialmente cuando las plataformas de puentes cruzados han estado en el extremo receptor de algunos de los mayores robos de criptomonedas de los últimos dos años.
Jean-Paul Faraq, jefe de comunidad y asociaciones de Unstoppable Games, dijo a Cointelegraph:
“Axie y su blockchain Ronin tienen claramente buenas intenciones y una gran visión. De hecho, teniendo en cuenta el estado del escalado en Ethereum cuando se construyó Ronin, se puede argumentar que era la elección correcta en ese momento, pero también tenían los fondos para explorar medidas robustas para asegurar que su blockchain estuviera mejor protegida. Seguramente analizarán detenidamente cómo mejorar y probablemente saldrán del otro lado con un producto más robusto.”
Los desarrolladores del juego han prometido aumentar el número de nodos validadores de nueve a 21 en el próximo trimestre. También aseguraron que si los fondos robados no se recuperan en un plazo de dos años, la DAO de Axie votará los siguientes pasos para su tesorería.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión