Conclusiones clave
- Ronin Network, la cadena lateral utilizada en el popular juego de ganar dinero Axie Infinity, sufrió una gran vulnerabilidad el 23 de marzo.
- Un pirata informático comprometió cinco nodos de validación y robó 173 600 Ethereum y 25,5 millones de USDC del puente Ronin por un valor de alrededor de $551,8 millones. El equipo de Ronin descubrió el exploit seis días después.
- El equipo de Ronin ha detenido el puente y está tomando varias medidas para rastrear al hacker, confirmó una publicación de blog.
Comparte este artículo
El puente Ronin y el intercambio de Katana se detuvieron luego del incidente.
Axie Infinity Network sufre vulnerabilidad
Ronin Network, la cadena de bloques que sustenta el popular juego Axie Infinity, se ha visto afectada por una importante brecha de seguridad.
El equipo de Ronin confirmó el incidente el martes por la noche. una entrada de blog reveló que sus nodos de validación Ronin y Axie DAO se vieron comprometidos el 23 de marzo, lo que resultó en pérdidas de 173 600 Ethereum y 25,5 millones de USDC. Según los precios de mercado de Ethereum el 23 de marzo, las pérdidas ascienden a alrededor de $ 551,8 millones (Ethereum se ha disparado de $ 3032 a $ 3400 en los días posteriores al ataque, lo que ha generado confusión sobre el valor del robo. A los precios de hoy, el alijo tiene un valor de más de $ 615 millones).
La publicación del blog reveló que el pirata informático usó claves privadas pirateadas para poder falsificar retiros. Curiosamente, el compromiso solo se descubrió hoy, seis días después del ataque, cuando alguien informó que había tenido problemas para retirar 5000 Ethereum del puente.
La cadena Ronin usa solo nueve nodos de validación (por contexto, Ethereum tiene alrededor de 300 000 validadores, mientras que Solana tiene cerca de 1000). Para confirmar un depósito o retiro, se requieren cinco firmas del validador. El pirata informático drenó con éxito los fondos porque tomó el control de cuatro validadores Ronin y otro validador administrado por Axie DAO. La publicación del blog decía que, aunque el esquema de clave de validación que utiliza “está configurado para ser descentralizado”, el atacante encontró una puerta trasera a través de un nodo sin gas que se instaló en medio de la creciente demanda de los usuarios.
El equipo de Ronin dijo que había aumentado a ocho el número mínimo de firmas de validador requeridas para un depósito o retiro en respuesta al incidente. También está migrando sus nodos y detuvo temporalmente el intercambio de Ronin Bridge y Katana.
Según la publicación del blog, esta billetera que contiene 175,913 Ethereum contiene la mayoría de los fondos robados. Antes del exploit, la misma billetera interactuó con Binance, y desde entonces otras billeteras conectadas al pirata informático han realizado depósitos en FTX y Crypto.com. Eso sugiere que puede haber una forma de rastrear al agresor. El equipo de Ronin dijo que estaba “trabajando directamente con varias agencias gubernamentales” y Chainalysis para rastrear al hacker y los fondos.
Ronin Network es una cadena lateral de Ethereum lanzada por Sky Mavis, el desarrollador de juegos de cadena de bloques detrás del éxito Axie Infinity de jugar para ganar basado en NFT. Sky Mavis experimentó un gran crecimiento el año pasado a medida que los NFT se dispararon y el interés en Axie Infinity se disparó, alcanzando una valoración de casi $ 3 mil millones en octubre. Los jugadores de Axie Infinity usan Ronin para intercambiar tokens en el juego. En la publicación del blog, el equipo de Ronin admitió que si bien la red “no era inmune a la explotación”, estaba trabajando para garantizar que no se perdiera el dinero de los usuarios. “Todos los AXS, RON y SLP en Ronin están seguros en este momento”, agregó la publicación.
AXS, RON y SLP se derrumbaron con las noticias. Como era de esperar, RON fue el más afectado. Ha bajado un 9,4% en el momento de la publicación.
Esta historia se está desarrollando y se actualizará a medida que surjan más detalles.
Divulgación: en el momento de escribir este artículo, el autor de este artículo poseía ETH y varias otras criptomonedas.