Sky Mavis, el desarrollador del popular videojuego de tokens no fungibles (NFTs) «Axie Infinity», confirmó este martes que un hacker robó cerca de 625 millones de dólares (mdd) en criptomonedas desde el blockchain subyacente del juego, Ronin.
El desarrollador dice que el hacker robó 173,600 ethereum (valuados en alrededor de 600 mdd) y 25.5 millones de USDC (una criptomoneda vinculada al dólar estadounidense) en dos transacciones. Aunque el robo se descubrió este martes, se llevó a cabo el 23 de marzo. La compañía dice que se enteró del ataque después de que un usuario reportara que no podía retirar 5,000 ETH del puente Ronin.
El puente Ronin de Sky Mavis es un intermediario entre «Axie Infinity» y otros blockchains de criptomonedas como ethereum. Los usuarios pueden depositar ETH o USDC en Ronin, luego comprar NFTs o la moneda del juego, o vender sus activos digitales y retirar el dinero.
Según Sky Mavis, el hacker utilizó claves de seguridad privadas hackeadas para comprometer los nodos de la red que validan las transferencias hacia y desde el blockchain de Ronin, lo que le permitió retirar estas cantidades de ethereum y USDC.
El blockchain Ronin de Sky Mavis consta de nueve nodos de validación. Para reconocer un depósito o un retiro, se necesitan cinco de las nueve firmas del validador. El hacker logró controlar los cuatro validadores Ronin de Sky Mavis y un validador de terceros dirigido por Axie DAO.
Sky Mavis congeló las transacciones en el puente Ronin y dijo que las habilitará nuevamente en una fecha posterior ya que «estemos seguros de que no se pueden drenar fondos».
Los activos digitales de ‘Axie Infinity’ no se vieron comprometidos en el ataque, según Sky Mavis
Sky Mavis aseguró que los tokens NFT «axie» que los jugadores deben comprar para acceder al juego no se han visto comprometidos, ni las criptomonedas internas SLP y AXS.
La compañía también aseguró que está «trabajando directamente con varias agencias gubernamentales para garantizar que los criminales sean llevados ante la justicia», así como con sus inversionistas para asegurarse de que no haya pérdida de fondos de los usuarios, y lo llama su «máxima prioridad».
“Como hemos visto, Ronin no es inmune a la explotación y este ataque ha reforzado la importancia de priorizar la seguridad, permanecer alerta y mitigar todas las amenazas”, dijo la compañía en el comunicado. “Sabemos que es necesario ganarse la confianza y estamos utilizando todos los recursos a nuestra disposición para implementar las medidas y procesos de seguridad más sofisticados para prevenir futuros ataques”.
Por ahora, la brecha parece ser el mayor hackeo experimentado en las llamadas «finanzas descentralizadas», seguido del robo de 322 mdd del puente Wormhole a principios de febrero. A finales de ese mismo mes, el marketplace OpenSea confirmó que hackers ganaron 1.7 millones de dólares en NFT robados en un ataque de phishing.
Héctor Cueto
Yahoo Noticias Business Insider