La cadena blockchain del juego NFT 'Axie Infinity' sufre un robo de 625 millones de dólares

Sky Mavis, la empresa que está detrás del popular juego de blockchain Axie Infinity, ha anunciado que ha sido objeto de un hackeo que se saldó con el robo de 625 millones de dólares. Este robo aprovechó las vulnerabilidades de la implementación de la cadena lateral (cadena L2) Ronin (que utiliza su juego), lo que permitió el robo de unos unos 173.600 Ethereum (valorados en 594,6 millones de dólares), además de 25,5 millones de dólares en la criptodivisa USDC vinculada al dólar. Los expertos esperan que este sea uno de los mayores hackeos en la relativamente corta historia de las criptomonedas.

Si bien el robo tuvo lugar el pasado 23 de marzo, no ha sido hasta el día de hoy que se descubrió el robo después de que un usuario no pudiera retirar 5.000 Ethereums mediante el puente Ronin.

Axie Infinity de Sky Mavis — Axie Infinity es un juego online basado en la cadena de bloques en NFT

Las cadenas L2 son soluciones construidas junto a las cadenas L1, como Bitcoin, Ethereum y Algorand. Estas soluciones ayudan a eludir la congestión de la cadena de bloques descargando las transacciones que se producirían en la cadena L1 a las cadenas laterales más rápidas, normalmente construidas a medida. También conocidas como puentes o agujeros de gusano, permiten a los usuarios llevar los fondos de su cadena L1 (en este caso, Ethereum) a otros ecosistemas de cadenas de bloques. El cripto trasladado a estas cadenas se bloquea como garantía, y se acuña un valor equivalente en cualquier token que la cadena utilice para operar. Al ser objetivos relativamente estables cuyo valor bloqueado tiende a aumentar con el tiempo, los puentes son objetivos especialmente atractivos para los malos actores.

El exploit se llevó a cabo atacando primero la cadena lateral Ronin. La cadena lateral de Ronin funciona de forma muy similar a otras criptomonedas, con nodos de confianza que validan las transacciones. Sin embargo, sigue estando sujeta a ataques del 51%: Si más de la mitad de la red se ve comprometida, los actores pueden escribir las transacciones que quieran en la cadena, que serán confirmadas por la mayoría de los validadores (hackeados).

En este caso, Ronin sólo tenía nueve nodos validadores, de los cuales el atacante comprometió cinco. Esto fue más que suficiente para desviar cantidades ingentes de fondos. Es una de las principales razones por las que la descentralización es un factor tan esencial para la tecnología blockchain: Cuantos más nodos y más descentralizados, mayor es la dificultad para realizar ataques como estos (al menos en la teoría).

Sky Mavis ha bloqueado rápidamente todas las transacciones de la red y ha aumentado los requisitos de validación de cinco a ocho nodos, de los nueve completos, como medida preventiva para cualquier vulnerabilidad explotable de forma similar que aún no haya sido tapada. El puente de Ronin sigue inoperativo, y otras cadenas (como Binance) ya han desactivado sus propios puentes hacia Ronin.

"Como hemos visto, Ronin no es inmune a la explotación y este ataque ha reforzado la importancia de priorizar la seguridad, permanecer vigilantes y mitigar todas las amenazas", reveló Sky Mavis. "Sabemos que la confianza debe ganarse y estamos utilizando todos los recursos a nuestra disposición para desplegar las medidas y procesos de seguridad más sofisticados para prevenir futuros ataques".

"Estamos en contacto con los equipos de seguridad de los principales exchanges y nos pondremos en contacto con todos ellos en los próximos días. Estamos en el proceso de migración de nuestros nodos, que está completamente separado de nuestra antigua infraestructura".

"Estamos trabajando con los agentes de la ley, los criptógrafos forenses y nuestros inversores para asegurarnos de que no se pierdan los fondos de los usuarios. Esta es nuestra máxima prioridad en este momento".

vía: PCG