El puente de la blockchain Ronin en la que corre el juego Axie Infinity, fue hackeado y el monto sustraído fue de 176,6 mil ETH y 25,5 millones de USDC. El monto en dólares del robo es de alrededor 625 millones y así Ronin y Axie Infinity imponen un nuevo récord al superar a Poly Network, cuyo “exploit” era el más alto, por 611 millones de dólares. Los desarrolladores detuvieron el puente y Katana DEX, el intercambio descentralizado.
Anunciaron que luego de haber sido hackeado el puente de esta blockchain, están en contacto con criptógrafos forenses y los inversores en los nodos validadores. Están a la espera de hacer contacto con los atacantes para buscar que los fondos sean devueltos. Según la Red Ronin los tokens AXS, RON y SLP, están a salvo. Al parecer el código de Ronin tenía una vulnerabilidad y hubo una brecha de seguridad que aprovecharon los piratas.
Hackeado el puente hace seis días
Informaron que desde el pasado 23 de marzo detectaron que los nodos de validación de Sky Mavis y Axie DAO estaban comprometidos. El robo se hizo con dos transacciones con claves privadas que fueron pirateadas para falsificar los retiros. Un usuario reportó que no podía retirar cinco mil ETH del puente, lo que fue la señal de advertencia del ataque ya en desarrollo.
La cadena de bloques Ronin de Sky Mavis, dispone de nueve nodos. Para proceder con un retiro o depósito, se requiere cinco de nueve firmas digitales para aprobar la transacción. Los piratas tenían control de cuatro de los validadores y un validador de terceros en Axie DAO, según detallaron en el informe.
También informaron que el error estuvo en un procedimiento que hicieron el pasado mes de noviembre de 2021 por la alta demanda de usuarios. Los atacantes lograron entrar a la red por un nodo RPC sin gas, que fue empleado con ayuda de Axie DAO para distribuir transacciones gratuitas. Sky Mavis estaba en la lista de admitidos en Axie DAO para firmar transacciones, pero no se revocó el acceso una vez terminó el proceso. Ese sería el recurso usado por el atacante para el robo.
Medidas para proteger la blockchain Ronin
Para evitar nuevos ataques, la Red Ronin subió el umbral de firmas para aprobar transacciones a ocho. Los equipos de seguridad de los intercambios están al tanto del suceso y algunos suspendieron los depósitos y retiros de estas fichas. Informaron de migrar los nodos de la antigua infraestructura y el puente fue detenido temporalmente. El puente será rehabilitado cuando consideren que no hay más peligro de drenar más monedas. La firma Chainalysis colabora en el rastreo de las transacciones de los atacantes.
Problemas de descentralización
El ataque que sufre la Red Ronin pone en juicio los aspectos de seguridad en las cadenas de bloque PoB que utilizan puentes o “cross-chain” y los fondos se mantienen allí. Además de los aspectos de descentralización, ya que pueden tomar decisiones como la de elevar la cantidad de firmas para validar de cinco a ocho, sin un proceso de votación. Esto desdice de la descentralización que se señala sobre los juegos “play to earn” basados en blockchain.
El ataque comenzó hace seis días y fue detectado porque un usuario común no pudo realizar un retiro del puente. Estos puentes comunican una cadena de bloques con otra. Cuando se envían monedas al contrato inteligente que los crea, emite monedas envueltas como contraparte. Los fondos enviados se bloquean y mantienen el respaldo de las monedas envueltas en proporción de 1:1. Cuando estos puentes son explotados por hackers, las monedas que fueron emitidas quedan sin respaldo, produciendo pérdidas e imposibilidad de los usuarios de mover sus fondos.
Sitio web sobre criptomonedas, Bitcoin, DeFi, NFT y tecnología blockchain. Aprende con nosotros a utilizar la cadena de bloques.