173,6 Ethers y 25 millones de tokens de USDC. Axie Infinity ha sufrido un ataque de un hacker que se ha hecho con un botín equivalente a 625 millones de dólares. El ataque fue perpetrado el pasado 23 de marzo, pero al parecer, los dueños de la plataforma no se dieron cuenta del hackeo hasta la mañana del 29 de marzo. Y todo, porque un usuario denunció mediante un ticket que no podía retirar su dinero utilizando el puente Ronin de la plataforma. ¿Hay alguien al volante de Axie Infinity?
Axie Infinity sufre un robo histórico: ¿dónde ha estado el origen del problema?
Se vendía como el videojuego definitivo. Una burda copia de Pokémon, pero con criaturas que son algo así como patatas con ojos. La gracia de Axie Infinity es que cada criatura es un NFT único. Para jugar, hay que invertir varios miles de dólares para hacerte con tres Axies. Luego, nos prometen que todo es coser y cantar. Combatir, «jugar» y ganar dinero. Axie Infinity es uno de los primeros juegos ‘play-to-earn’. El futuro de los videojuegos.
Pero el que ha ganado de verdad ha sido el hacker que se ha hecho con más de 600 millones de dólares aprovechando una vulnerabilidad del puente Ronin que utiliza Axie Infinity. El hacker, del que no se sabe prácticamente nada —y damos por hecho que, debido a su profesionalidad, no pertenece al Team Rocket—, descubrió que el puente que se utiliza para los retiros de Axie Infinity, Ronin, una side-chain propiedad de Sky Mavis, utiliza nueve nodos validadores para autorizar las transacciones. Con un número tan pequeño de firmas, consideró que era sencillo hacerse con el botín. Para su cometido tan solo tenía que hacerse con el control de cinco de los nueve nodos. Y así lo hizo. Consiguió manipular cuatro nodos de Sky Mavis y un validador extra dirigido por Axie DAO.
¿Conseguirá Axie Infinity recuperar el dinero?
No tiene pinta. Los movimientos por parte de la compañía tras conocer el ataque han sido más bien los de prevenir un futuro ataque utilizando el mismo modus operandi. En apenas 24 horas, se ha subido el número de validaciones de 5 a 8. También están migrando los nodos afectados, que han sido apartados de la infraestructura sana de Ronin.
Ya hubo un caso casi idéntico
Tal y como apunta Gizmodo, un caso prácticamente idéntico sucedió en agosto del año pasado en la red de Poly Network. Un hacker consiguió drenar el equivalente a 600 millones de dólares de esta red DeFi. Buena parte de los fondos consiguieron ser retenidos, pero los hackers consiguieron retirar 30 millones de dólares a través de la plataforma Crypto.com tras lo que pareció ser un descuido.
Cuando se producen ataques de este tipo, suele abrirse el debate de si la seguridad y la descentralización de las criptomonedas son su verdadero valor, teniendo en cuenta que los ciberataques siguen ocurriendo. Casos como este demuestran que cuantos más validadores tenga una blockchain, más robusta será, al mismo tiempo que se pone de manifiesto el importante papel del mantenimiento también en este tipo de sistemas.