La red Ronin, un sistema de cadena de bloques que ejecuta el popular juego NFT de Sky Mavis, Axie Infinity, ha sido pirateada y se han robado unos 625 millones de dólares en fondos en un robo masivo.
El puente Ronin fue «explotado» por 173.600 Ethereum y 25,5 millones de USDC, anunció Ronin Network en un entrada en el blog, y agregó que el puente y el Katana Dex ahora se han detenido como resultado. Ronin Network dijo que está trabajando activamente con las fuerzas del orden, así como con criptógrafos forenses y sus propios inversores para garantizar que «todos los fondos se recuperen o reembolsen».
En el anuncio, Ronin Network dijo que descubrió hoy (29 de marzo) que los nodos de validación en el validador de Ronin para Sky Mavis y los nodos Axie DAO se comprometieron el 23 de marzo, lo que provocó el robo. Se llevaron a cabo dos transacciones, y el pirata informático utilizó «claves privadas» para crear retiros falsos, dijo la compañía. «Descubrimos el ataque esta mañana después de un informe de un usuario que no podía retirar 5k ETH del puente», dijo Ronin Network.
Ronin Network explicó que la única forma de depositar o retirar fondos de la cadena Ronin es obtener cinco de las nueve firmas del validador. La parte atacante obtuvo acceso a cuatro validadores de Ronin y uno de un tercero administrado por Axie DAO, dijo Ronin Network.
«El esquema de la clave del validador está configurado para ser descentralizado de modo que limite un vector de ataque, similar a este, pero el atacante encontró una puerta trasera a través de nuestro nodo RPC sin gas, del cual abusaron para obtener la firma del validador Axie DAO ,» decía. «Esto se remonta a noviembre de 2021 cuando Sky Mavis solicitó ayuda de Axie DAO para distribuir transacciones gratuitas debido a una inmensa carga de usuarios. Axie DAO incluyó a Sky Mavis en la lista de permitidos para firmar varias transacciones en su nombre. Esto se suspendió en diciembre de 2021, pero el el acceso a la lista de permitidos no fue revocado».
La declaración continúa: «Una vez que el atacante obtuvo acceso a los sistemas Sky Mavis, pudo obtener la firma del validador Axie DAO mediante el uso del RPC sin gas. Hemos confirmado que la firma en los retiros maliciosos coincide con los cinco sospechosos. validadores».
Ronin Network dijo que «se movió rápidamente» para abordar el incidente y ahora está tomando medidas para asegurarse de que no vuelva a suceder. A corto plazo, Ronin Network dijo que los depósitos y retiros ahora requieren ocho validaciones en lugar de cinco.
“Estamos trabajando directamente con varias agencias gubernamentales para garantizar que los criminales sean llevados ante la justicia”, dijo la compañía. «Estamos en el proceso de discutir con las partes interesadas de Axie Infinity / Sky Mavis sobre cómo avanzar mejor y garantizar que no se pierdan los fondos de los usuarios».
Según Ronin Network, ha determinado que «la mayoría» de los fondos robados permanecen en la billetera de la parte de piratería. La compañía también aclaró que los usuarios actualmente no pueden retirar o depositar fondos en Ronin Network por el momento.
Axie Infinity es un juego basado en NFT del desarrollador Sky Mavis que es uno de los ejemplos más populares de un videojuego basado en blockchain. Es un generador de dinero gigantesco, con su desarrollador afirmando $ 4 mil millones de ventas de NFTaunque no está claro qué porcentaje de eso involucra a los mismos jugadores intercambiando entre sí.
