Ciberdelincuentes roban 615 millones de dólares de la blockchain utilizada para jugar en Axie Infinity

El hackeo es el mayor de la historia de las finanzas descentralizadas, con aproximadamente 173.600 Ethereum y 25,5 millones de dólares en USDC.

Según la Red Ronin, la brecha de seguridad se detectó inicialmente hoy, pero se habría producido el 23 de marzo. Ese día, los nodos validadores de Ronin y los códigos validadores de Axie DAO se vieron comprometidos. El atacante utilizó claves privadas hackeadas para realizar transferencias falsas. El ataque se descubrió después de que un usuario se quejara de que no podía retirar 5.000 Ethereum de una cuenta.

El ataque se produjo a través de firmas validadoras comprometidas. Para reconocer un depósito o una transferencia, se necesitan cinco de las nueve firmas del validador. El atacante logró obtener el control de cuatro firmas pertenecientes a Sky Mavis Pte. Ltd., la empresa matriz de Axie Infinity, y un validador de terceros gestionado por Axie DAO.

El sistema se diseñó específicamente para evitar que una sola clave de validador tuviera acceso a la red, pero aun así el atacante logró encontrar la forma de obtener cinco de las nueve claves necesarias.

Ronin está en contacto con los equipos de seguridad de las principales bolsas y está trabajando directamente con los organismos gubernamentales “para garantizar que los delincuentes sean llevados ante la justicia”, según un comunicado publicado hoy. La empresa también está tomando medidas para protegerse de futuros ataques, como aumentar el umbral de validación de cinco a ocho.

Lo que no está claro es si las pérdidas, suponiendo que algunas o todas no puedan recuperarse, estarán cubiertas. “Estamos discutiendo con las partes interesadas de Axie Infinity/Sky Mavis sobre la mejor manera de avanzar y asegurar que no se pierdan los fondos de los usuarios”, dijo la red.

Los 173.600 Ethereum están valorados a la fecha en 590 millones de dólares. El USDC, en tanto, es una moneda estable vinculada al dólar estadounidense.

Ilustración: captura de pantalla, sitio de Axie Infinity


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022