Tecnología

Así robaron más de 625 MDD en Axie Infinity, el juego basado en NFT’s

Un hacker aprovechó una vulnerabilidad en los nodos de validación de la red que sustenta el videojuego para robar stablecoins y ethers.

mié 30 marzo 2022 11:00 AM

Axie Infinity sufre hac — Este videojuego ha ganado popularidad, pues permite a las personas ganar dinero como si se tratara de un trabajo de tiempo completo. (Twitter@AxieInfinity)

Expansión

@ExpansionMx

El popular videojuego basado en NFT’s, Axie Infinity, sufrió un robó de aproximadamente 625 millones de dólares en USCD (una stablecoin vinculada al dólar estadounidense) y Ethereum. Esta cifra es la más alta en un hackeo de tokens no fungibles de la historia.

La brecha se descubrió el 29 de marzo, después de que un usuario no pudiera retirar 5,000 ether y desde entonces se congelaron las transacciones en el puente de la red que permite depositar y retirar fondos.

Sin embargo, el ataque se ejecutó desde el 23 de marzo, cuando un atacante utilizó claves privadas pirateadas para falsificar retiros y comprometer nodos clave de validación (medida para verificar las transacciones), según los detalles proporcionados por Ronin Network. Esto le permitió retirar grandes cantidades de Ethereum y USDC de forma silenciosa, de acuerdo con un comunicado.

Cabe mencionar que Ronin Network funciona como un intermediario entre Axie Infinity y otras cadenas de bloques, como Ethereum. Es decir, los usuarios pueden depositar Ethereum o USDC en Ronin, para después comprar NFT’s del juego o vender dichos activos para conseguir dinero.

Axie Infinity se lanzó en 2018 y es un título donde los jugadores compran monstruos únicos (que son NFT), los entrenan, mejoran sus habilidades y los venden a otros usuarios. La popularidad del título creció hasta el punto de tener 2 millones de usuarios activos al día, y comprar una criatura llega a costar 1,500 dólares, por lo que es necesario pedir préstamos a jugadores con experiencia.

Ronin también detalló que tras el hackeo los tokens (axie) que los jugadores deben adquirir para acceder al título no se vieron comprometidos, al igual que las criptomonedas utilizadas para luchar y criar a los monstruos.

Este tipo de intermediarios o puentes han recibido críticas por importantes actores del crypto, como Vitalik Buterin, creador de Ethereum , quien a inicios de año argumentó que pronto dejarán de existir, pues existen “límites fundamentales para su seguridad”.

Sky Mavis, la empresa desarrolladora de Axie Infinity, resaltó que la vulnerabilidad fue posible, debido a un atajo que tomó para “aliviar” la gran cantidad de usuarios que recibieron desde noviembre del año pasado, periodo en que el título ganó popularidad en Filipinas y otros países donde se convirtió en un trabajo de tiempo completo.

Si bien este sistema fue descontinuado en diciembre, los permisos que permitían su funcionamiento nunca fueron revocados, por lo que se comprometieron los nodos de validación, mismos que el atacante explotó.

Ante esto, la empresa dijo que aumentará la cantidad de nodos para realizar transacciones, a fin de que no se drene más dinero. “Como hemos visto, Ronin no es inmune a la explotación y este ataque ha reforzado la importancia de priorizar la seguridad, permanecer alerta y mitigar todas las amenazas”, señaló.

Además, anunció que están “trabajando con los funcionarios de hacer cumplir la ley, los criptógrafos forenses y nuestros inversores para asegurarse de que no haya pérdida de fondos de los usuarios”, algo que llamaron su “máxima prioridad”.