Ronin Bridge, el puente que conecta la cadena lateral de Axie Infinity, Ronin Network, con Ethereum, ha sido explotado, permitiendo un robo de 610 millones de dólares. La compañía desarrolladora, Sky Mavis, indicó que el hacker logró drenar 173.600 ETH (actualmente 585 millones de dólares) y otros 25,5 millones de dólares en la stablecoin USDC.
El pirata usó las claves privadas de cuatro de los nodos de validación de Sky Mavis y de uno de los nodos de Axie DAO, logrando acceder a los sistemas de Sky Mavis y realizar varios retiros de fondos no autorizados. Se trata del exploit más grande en lo que va de año en la industria blockchain.
Robo del $610 millones de Axie Infinity
Los desarrolladores de Ronin Network tuitearon que están trabajando con las autoridades, investigadores de ciberseguridad y las plataformas de intercambio de criptomonedas para recuperar los fondos. En un informe publicado ayer indicaron que el robo en Ronin Bridge se produjo el miércoles, 23 de marzo.
The Ronin bridge has been exploited for 173,600 Ethereum and 25.5M USDC.
The Ronin bridge and Katana Dex have been halted.
— Ronin (@Ronin_Network) March 29, 2022
El precio de los tokens DeFi en Fantom cae un 30% tras la marcha de Andre Cronje
Igor Igamberdiev, investigador de ciberseguridad, explicó en Twitter que el hacker ha estado depositando ETH, desde que ocurrió el exploit, en plataformas de intercambio como Crypto.com y FTX. Una acción que resulta bastante extraña para muchos, considerando las normas KYC que aplican estas plataformas.
Imagine stealing 600 million 6 days ago and depositing money on @FTX_Officialhttps://t.co/nYWYC1jJ1J pic.twitter.com/YGzr7uyk5Q
— Igor Igamberdiev (@FrankResearcher) March 29, 2022
Validadores de nodos comprometidos
Los desarrolladores de Ronin Network puntualizan que al momento de realizar depósitos o retiros en la red se requieren cinco de las nueve firmas de validador autorizadas por la compañía.
Recordemos que Ronin Network es una cadena de bloques lateral basada en Ethereum, que Sky Mavis diseñó para garantizar escalabilidad y accesibilidad a su popular juego blockchain Axie Infinity. Sin embargo, la red utiliza el protocolo de consenso Proof of Authority (PoA) para garantizar su alto rendimiento y velocidad, al mismo tiempo que sacrifica por completo la descentralización. Debido a esto, Ronin Network es controlada por un pequeño grupo de validadores, en manos de empresas de alto perfil y reputación de la industria blockchain y de los videojuegos.
Vulnerabilidad de seguridad
El esquema de las claves privadas de cada validador está configurado para ser descentralizado, explican los desarrolladores. Señalando que se trata de una medida de seguridad para limitar la posibilidad de un exploit como el ocurrido. Sin embargo, el hacker encontró una puerta trasera, que le dio acceso a las firmas privadas de cinco de los validadores de nodo de Ronin Network. Todo lo necesario para retirar los fondos.
El presidente de BBVA confía en las finanzas descentralizadas (DeFi)
Los desarrolladores creen que la vulnerabilidad se remonta a noviembre del año pasado, cuando Axie DAO autorizó a Sky Mavis firmar transacciones en su nombre, con el fin de abordar la alta demanda en el juego. Aunque Axie DAO suspendió el permiso de Sky Mavis en diciembre, el error, según señalan, fue no revocar el acceso a la lista de permitidos.
“Una vez que el atacante obtuvo acceso a los sistemas Sky Mavis, pudo obtener la firma del validador Axie DAO” por medio de un acceso al protocolo RPC del nodo. RPC son las iniciales de Remote Procedure Call, usado para la comunicación de información en los programas y las aplicaciones de cliente/servidor, explican.
Medidas de emergencia implementadas
Para ayudar a proteger a Ronin Network y a sus usuarios, los desarrolladores han implementado una serie de medidas de emergencia para garantizar la seguridad. En primer lugar, que el número de validadores autorizados para firmar las transacciones aumentase de cinco a ocho. Además, el puente Ronin Bridge y el exchange descentralizado Katana han sido detenidos temporalmente.
También informan que están colaborando con la compañía de análisis blockchain Chainalysis y con los exchanges de criptomonedas para monitorear y poder recuperar los fondos. Igualmente, indican que la autoridades están sumándose a las investigaciones para garantizar que los ladrones sean llevados ante la justicia, indicaron.
¿Es estafa Oz Finance, la DeFi que se publicita para obtener residencia en Filipinas?
Según Etherscan, los fondos robados a Ronin Network permanecen en la billetera del hacker en el momento de escribir este artículo.
Fondos robados en Ethereum (ETH) a Ronin Network. Fuente: Etherscan
La criptocomunidad de Axie unida
Pese a la magnitud del exploit ocurrido en Ronin Bridge, la criptocomunidad de Axie Infinity permanece unida. En Twitter, jugadores u líderes de la industria han manifestado su apoyo a Sky Mavis. Changpeng Zhao, CEO de Binance, tuiteó que su equipo está trabajando con los desarrolladores de Axie para seguir los fondos y ofrecer una solución a los usuarios.
Our team is in touch with AxieInfinity team providing assistance in tracking this issue. https://t.co/pNU4wwrCAq
— CZ 🔶 BNB (@cz_binance) March 29, 2022
Sam Bankman-Fried, CEO de FTX; Goltra, COO de Yield Guild Games (YGG); y la cuenta oficial de Huobi Global también indicaron que trabajan con Sky Mavis para detectar cualquier movimiento y adoptar acciones El inversor Web3 “Artic” tuiteó que hace 1.498 días que forma parte de la comunidad Axie y que seguirá apoyándola, pese a las complicaciones actuales.
Robert Leshner, fundador y CEO de Compound, dijo sentir una “gran decepción” por el exploit ocurrido en Ronin Bridge. “Esta es también una acusación contra la arquitectura de seguridad de los puentes multi-sig, nuevamente”. Señaló que espera que los usuarios afectados puedan recuperar sus fondos pronto.
RON cae 22%, AXS y SLP aún estables
El precio del token RON, de Ronin Network, ha caído más del 22% en las últimas 24 horas. Cotiza sobre los $1,75 USD por unidad al cierre de esta edición. AXS y SLP, los tokens nativos de Axie Infinity, parecen estables, cotizando sobre los $64,5 USD y $0,02 USD, respectivamente.
Poly Network ofrece seguridad de la compañía al hacker que le robó $613 millones
Más de $1.000 millones en exploits a bridges
Este año, los exploits a puentes cross-chain o de cadena cruzada en la industria blockchain suman ya alrededor de 1.000 millones de dólares. Tras Ronin Bridge, el segundo mayor exploit de este año a un bridge ha sido el de Wormhole, un puente de cadena cruzada entre Solana, Ethereum y otras redes, que perdió cerca de 320 millones de dólares en febrero. En total, el hacker logró drenar 120.000 wETH, que fueron reembolsados unos días después por la compañía Jump Crypto, para mantener la paridad 1:1 de ETH y wETH.
A finales de enero, el puente de cadena cruzada Qubit Finance fue explotado por 80 millones de dólares. Una vulnerabilidad presente en el puente entre Ethereum y Binance Smart Chain permitió a un hacker acuñar xETH ilimitado para pedir prestado en BSC. Meter Passport y Multichain también fueron vulnerados este año, perdiendo $4,4 y $1,4 millones de dólares, respectivamente. El exploit de Meter Passport también ocasionó en una pérdida de 3,3 millones de dólares en el protocolo DeFi Hundred Finance.
También puedes seguirnos en nuestros canales de Telegram y Twitter
- Los bancos más importantes del mundo ya ofrecen bitcoin y criptomonedas - 16 noviembre, 2023
- HairDAO, la DAO que financia la investigación de la alopecia - 24 mayo, 2023
- La tokenización de activos alcanzará $4 billones en 2030, según Citi - 31 marzo, 2023