Una brecha de seguridad en Ronin Network, la cadena de ‘blockchain’ que utiliza el juego de NFT Axie Infinity, ha sido el objetivo de un ataque que se ha saldado con el robo de más de 560 millones€ en criptomonedas.

El ciberataque a Ronin Bridge, el puente que conecta la cadena lateral de Axie Infinity, Ronin Network, con Ethereum ha afectado a 173.600 Ethereum (más de 530 millones€ al cambio actual) y 25,5 millones de USD Coin (30 millones€).

Según ha informado Ronin en un comunicado, descubrió que el pasado 23 de marzo los nodos de validación de Sky Mavis, la desarrolladora del videojuego de tokens no fungibles (NFTs) Axie Infinity, y los nodos de validación Axie DAO se vieron comprometidos. La compañía descubrió esta brecha de seguridad tras recibir un aviso por parte de un usuario, que no pudo retirar Ethereum.

Al parecer, el atacante, que realizó dos transaciones en total, utilizó claves privadas, a las que había tenido acceso previamente, para acceder al sistema y justificar los retiros de cripromonedas.

La cadena de bloques Ronin de Sky Mavis está formada por nueve nodos de validación. Para proceder al depósito o al retiro de criptomonedas son necesarias cinco de las nueve firmas de estos validadores.

Debido a que el atacante consiguió controlar los cuatro validadores de Ronin de la desarrolladora de videojuegos y un validador de terceros gestionado po Axie DAO, logró acceder al sistema.

A pesar de que está configurado para ser descentralizado y, en caso de ataque, aislarlo del resto, el pirata informático logró acceder mediante una puerta trasera de uno de sus nodos y consiguió la firma del validador Axie DAO.

Estos nodos validadores se utilizan para evitar las transacciones fraudulentas. Sin embargo, debido a una alta demanda del juego, Axie DAO dio privilegios especiales a Sky Mavis para firmar transacciones en su nombre en noviembre de 2021.

A pesar de que este permiso concluyó un mes después, en diciembre, la lista de permisos de acceso no se revocó. Por ese motivo, una vez el atacante obtuvo acceso a los sistemas de Sky Mavis, pudo obtener la firma del validador correspondiente.

Tras llevar a cabo una investigación interna, Ronin ha confirmado que la firma de las retiradas de activos digitales coincide con la de los cinco validadores sospechosos.

Con el objetivo de evitar más ataques a corto plazo y proteger su sistema de validación, Ronin ha aumentado el umbral de validadores de cinco a ocho y ha iniciado un proceso de migración de sus nodos, completamente separado de su antigua infraestructura.

«Hemos detenido temporalmente el puente de Ronin para asegurarnos de que no queden abiertos más vectores de ataque», y los puentes de Binance y Katana DEX, y está trabajando con varias agencias gubernamentales, así como con Chainalysis, una organización que apoya a empresas de criptomoneda y otras instituciones financieras, para supervisar los fondos robados.

Todos los tokens de Ethereum que impulsa Axie Infinity (AXS, RON y Smooth Love Potion o SLP) de Ronin están vigilados y a salvo de sufrir un ataque de estas características.

Por el momento, los usuarios no pueden retirar o depositar fondos en Ronin Network. Sky Mavis se ha comprometido a recuperar y reembolsar todos los fondos robados.

Análisis de ESET

«La gente no juega a Axie Infinity por la diversión que pueda proporcionarle, sino porque al ganar estas batallas, se obtienen Axie Infinity Shards (AXS), un token que puede ser utilizado como método de pago dentro del juego pero que también tiene su valor equivalente en dinero real, valor que, por cierto, se desplomó en las horas posteriores a que se hiciera público este robo», comentan en ESET

Las mascotas necesarias para formar un equipo con el que competir, «también cuestan dinero, y para tener un equipo medianamente competitivo se deben abonar cientos, si no miles de dólares». «Hay incluso personas que adquieren estos equipos y luego los ceden a otros usuarios para que sean estos los que dediquen horas y horas tratando de ganar combates, a cambio de una pequeña comisión», añaden en la firma de ciberseguridad.