A finales de marzo, Ronin, una cadena lateral de Ethereum creada para el popular juego de fichas no fungibles de jugar para ganar Axie Infinity, fue pirateada por más de 173 600 Ether (ETH) y 25,5 millones de dólares en monedas (USDC) por un valor combinado de más de 600 millones de dólares.
La brecha en el puente Ronin fue confirmada por Sky Mavis, los desarrolladores detrás del popular juego play-to-earn (P2E):
Ha habido una brecha de seguridad en la Red Ronin.https://t.co/ktAp9w5qpP
— Ronin (@Ronin_Network) 29 de marzo de 2022
El informe oficial de la compañía señaló que los piratas informáticos lograron acceder a las claves privadas de los nodos de validación, lo que resultó en el compromiso de cinco nodos de validación, que también es el umbral requerido para aprobar una transacción. La cadena Ronin consta actualmente de nueve nodos de validación y el pirata informático logró acceder a cuatro de ellos junto con un validador de terceros administrado por la organización autónoma descentralizada (DAO) Axie DAO.
La causa raíz del exploit se remonta al año pasado cuando Axie DAO dio acceso a Sky Mavis para firmar transacciones en su nombre para mitigar el volumen de usuarios. Sin embargo, este acceso nunca fue revocado, lo que eventualmente llevó a que los piratas informáticos accedieran por la puerta trasera, lo que resultó en hacks de $ 600 millones.
El exploit tuvo lugar el 23 de marzo, solo para ser descubierto casi una semana después de que los piratas informáticos detrás del ataque usaran los fondos robados para acortar Axie Infinity (AXS) y Ronin (RON). Los piratas informáticos esperaban ganar más dinero con su hazaña, pensando que la noticia sobre el mayor pirateo criptográfico eventualmente derribaría el mercado, sin embargo, fueron liquidados antes de que saliera la noticia:
no puedes inventar esto
Hacker roba $ 600MM en ETH de Ronin blockchain, el que está detrás de Axie
Luego, el pirata informático se queda corto con Ronin y AXS (token Axie) sabiendo que tan pronto como se publique la noticia, los tokens caerán en picado.
Pero NADIE se da cuenta y los liquidan poco antes de que salgan las noticias.
—Eric Golden (@ericgoldenx) 29 de marzo de 2022
El puente Ronin se cerró después, y todos los depósitos y retiros se detuvieron hasta que se completó la investigación y pueden pasar varias semanas antes de que el puente vuelva a abrir para uso público. Desde entonces, los desarrolladores detrás del juego han buscado la ayuda de varios intercambios de criptografía y del grupo analítico de criptografía Chainalysis para rastrear el movimiento de fondos y recuperarlos.
Sky Mavis ha descartado vulnerabilidades técnicas como la causa principal detrás del exploit y lo culpó a la ingeniería social. Los desarrolladores también prometieron reembolsar y recuperar los fondos robados:
“Este fue un ataque de ingeniería social combinado con un error humano de diciembre de 2021. La tecnología de Sky Mavis es sólida y agregaremos varios validadores nuevos a la red Ronin en breve para descentralizar aún más la red”. dicho Aleksander Leonard Larsen, cofundador y director de operaciones de Axie Infinity.
Lavado y reembolso
El exploit en el puente Ronin fue bastante similar a lo que sucedió en el puente Wormhole para Solana, donde los explotadores lograron salirse con la suya con $ 320 millones en fondos criptográficos de la plataforma de puente cruzado. Más tarde, en febrero, Jump Crypto, una empresa de capital de riesgo, rescató a los usuarios explotados y repuso 120 000 ETH.
Sky Mavis había hecho una promesa similar después del exploit, alegando que se aseguraría de que los usuarios afectados fueran reembolsados incluso si los fondos perdidos no se recuperan. El 6 de abril, los creadores del popular juego recaudaron $150 millones liderados por el intercambio de criptomonedas Binance y otros inversores.
Un portavoz de Sky Mavis le dijo a Cointelegraph:
“Del monto total robado, alrededor de $400 millones pertenecen a los usuarios. La nueva ronda, combinada con los fondos del balance de Sky Mavis y Axie, garantizará que se reembolse a todos los usuarios. Los 56 000 ETH comprometidos de la tesorería de Axie DAO permanecerán sin garantía mientras Sky Mavis trabaja con las fuerzas del orden para recuperar los fondos. Si los fondos robados no se recuperan por completo dentro de dos años, Axie DAO votará sobre los próximos pasos para la tesorería”.
Muchos en el mundo de las criptomonedas esperaban que, al igual que el explotador de Poly Network, el hacker detrás del exploit Ronin Bridge eventualmente devolviera los fondos robados, ya que es bastante difícil lavar una cantidad tan alta de dinero. Sin embargo, no ha habido ninguna evidencia de tal comunicación entre los desarrolladores de juegos y los piratas informáticos y la compañía se negó a comentar sobre el estado de dichas comunicaciones.
Elliptic, una empresa de análisis de criptodatos, rastreó $540 millones de los fondos robados y cree que los piratas informáticos ya comenzaron a lavar el dinero. Primero, el USDC robado se cambió por ETH en intercambios descentralizados (DEX) para evitar que se congelara.
Después de cambiar USDC por ETH, los piratas informáticos comenzaron a lavar ETH a través de tres intercambios centralizados.
La billetera perteneciente a los piratas informáticos de Ronin Bridge también comenzó a enviar fondos a servicios de mezcladores de divisas como Tornado Cash. Vale la pena señalar que el explotador de Poly Network hizo lo mismo al principio, pero finalmente decidió devolver los fondos ya que el lavado de una suma tan grande se volvió cada vez más difícil. Según un informe de PeckShield, los piratas informáticos lavado alrededor de $ 42 millones en fondos, o alrededor del 7,5% del total.
“Hackear es la parte más fácil. La parte más difícil es planificar con suficiente anticipación para asegurarse de que el cobro de los fondos sea exitoso. Además, cuanto más grande sea el ataque, más improbable es que los piratas informáticos puedan arreglárselas con todos los fondos”, dijo Jonah Michaels, líder de comunicaciones de Immunefi, una plataforma de recompensas por errores de Web3.
¿Se podría haber evitado este truco?
Si bien no todas las cadenas de bloques son iguales, todas se basan en el principio de descentralización, lo que garantiza que el poder y la seguridad no se concentren en manos de una sola entidad. La necesidad de descentralización se destaca con este enorme truco en Ronin. Al diseñar sistemas para el público con el objetivo de distribuir energía y seguridad, debe ser solo eso: distribuido. Se ha demostrado que el uso de nueve validadores, cuatro de los cuales están controlados por una sola parte, es inseguro.
Si bien los creadores del juego afirman que el exploit no tuvo lugar debido a deficiencias técnicas, el hecho de que los piratas informáticos lograron explotar y obtener una entrada de puerta trasera a uno de sus nodos de validación porque los desarrolladores olvidaron revocar el acceso al tercero. party validator ciertamente destaca un cierto nivel de centralización en el proceso de aprobación del validador. Esto eventualmente se convirtió en la razón de la pérdida de $ 600 millones en criptoactivos.
Para un juego como Axie Infinity con una valoración de $ 4 mil millones y una base de usuarios que oscila en millones, los desarrolladores definitivamente podrían haberlo hecho mejor con la seguridad de puente cruzado, especialmente cuando las plataformas de puente cruzado han estado en el extremo receptor de algunas de las criptomonedas más grandes. atracos en los últimos dos años.
Jean-Paul Faraq, jefe de comunidad y asociaciones de Unstoppable Games, le dijo a Cointelegraph:
“Axie y su blockchain Ronin claramente tienen buenas intenciones y una gran visión. De hecho, considerando el estado de escalamiento en Ethereum cuando se construyó Ronin, puede argumentar que fue la elección correcta en ese momento, pero también tenían los fondos para explorar medidas sólidas para garantizar que su cadena de bloques estuviera mejor protegida. Seguramente analizarán detenidamente cómo mejorar y probablemente saldrán del otro lado con un producto más sólido”.
Los desarrolladores del juego prometieron aumentar la cantidad de nodos de validación de nueve a 21 en el próximo trimestre. También aseguraron que si los fondos robados no se recuperan dentro de dos años, Axie DAO votaría por los próximos pasos para su tesorería.