L'atac es va produir el 23 de març, però les alarmes no van saltar fins una setmana després
La xarxa Ronin, la cadena de blocs que executa el popular joc de NFT Axie Infinity de Sky Mavis, ha estat hackejada, amb uns 625 milions de dòlars de fons robats pels delinqüents. Segons expliquen diversos mitjans, l'atac es va produir el 23 de març, però les alarmes no van saltar fins una setmana després.
Ronin ha declarat que està treballant activament amb les forces de l'ordre, així com amb criptògrafs forenses i els seus inversors per assegurar que "tots els fons siguin recuperats o reemborsats".
A l'anunci, la xarxa Ronin va dir que va descobrir que els nodes validadors de Ronin per a Sky Mavis i els nodes DAO d'Axie van ser compromesos el 23 de març, cosa que va portar al robatori. Es van fer dues transaccions, i el hacker va utilitzar "claus privades" per crear reintegraments falsos, va dir la companyia. "Vam descobrir l'atac aquest matí després d'un informe d'un usuari que no podia retirar 5.000 ethereums", ha informat Ronin Network.
Ronin Network va explicar que l'única manera de dipositar o retirar fons de la cadena Ronin és obtenir cinc de les nou firmes dels validadors. La part atacant va obtenir accés a quatre validadors de Ronin i un d'un tercer dirigit per Axie DAO, segons la companyia.
"L'esquema de la clau del validador està configurat per ser descentralitzat, de manera que limita un vector d'atac, similar a aquest, però l'atacant va trobar una porta del darrere, de la qual van abusar per obtenir la signatura del validador Axie DAO", va dir. "Això es remunta al novembre de 2021, quan Sky Mavis va sol·licitar ajuda a l'Axie DAO per distribuir transaccions gratuïtes a causa d'una immensa càrrega d'usuaris. L'Axie DAO va permetre a Sky Mavis signar diverses transaccions en nom seu. Això es va interrompre el desembre de 2021, però l'accés no va ser revocat".
El comunicat continua: “Un cop l'atacant va aconseguir l'accés als sistemes de Sky Mavis, van poder obtenir la signatura del validador Axie DAO utilitzant l'RPC sense gas. Hem confirmat que la signatura dels retiraments maliciosos coincideix amb els cinc validadors sospitosos".
Ronin Network va dir que "es va moure ràpidament" per abordar l'incident i ara està prenent mesures per assegurar-se que no es repeteixi. A curt termini, Ronin Network va dir que els dipòsits i retiraments ara requereixen vuit validacions en comptes de cinc.
"Estem treballant directament amb diverses agències governamentals per assegurar que els delinqüents siguin portats davant la justícia", va dir la companyia. "Estem en el procés de discutir amb les parts interessades d'Axie Infinity/Sky Mavis sobre la millor manera d'avançar i assegurar que no es perdin els fons dels usuaris".
Axie Infinity és un joc basat en NFT del desenvolupador Sky Mavis que és un dels exemples més populars d'un joc vídeo basat en cadena de blocs. És una màquina gegantina de fer diners, ja que el seu desenvolupador afirma que les vendes de NFT ascendeixen a 4.000 milions de dòlars, encara que no és clar quin percentatge d'aquesta xifra correspon als mateixos jugadors que comercien entre si.