Como parte del ataque, un hacker desconocido consiguió hacerse con el control de cuatro de los nodos validadores de Ronin Network.
Ronin Network, una sidechain basada en Ethereum creada por el desarrollador de Axie Infinity, Sky Mavis, para dar soporte a su popular juego basado en tokens no fungibles, ha sido explotada por un hacker desconocido (o un grupo) y ha perdido hoy aproximadamente 615 millones de dólares en criptografía.
«El puente Ronin ha sido explotado por 173.600 Ethereum y 25,5M USDC. El puente Ronin y Katana Dex han sido detenidos», reveló hoy Ronin Network en Twitter, añadiendo:
«Estamos trabajando con los agentes de la ley, los criptógrafos forenses y nuestros inversores para asegurarnos de que todos los fondos sean recuperados o reembolsados». Todos los AXS, RON y SLP en Ronin están a salvo en este momento».
Ha habido una brecha de seguridad en la red Ronin.https://t.co/ktAp9w5qpP
– Ronin (@Ronin_Network) March 29, 2022
Según la alerta de la comunidad de la red, su puente Ronin, un protocolo de interoperabilidad de blockchain que permite a los usuarios transferir sus activos entre la cadena Ronin y la mainnet de Ethereum, ha sido explotado para obtener 173.600 Ethereum (actualmente con un valor de algo más de 588 millones de dólares) y 25,5 millones de dólares en stablecoins de USDC.
«Hoy temprano, descubrimos que el 23 de marzo, los nodos validadores Ronin y los nodos validadores Axie DAO de Sky Mavis fueron comprometidos», reveló Sky Mavis. «El atacante utilizó claves privadas hackeadas con el fin de falsificar retiros. Descubrimos el ataque esta mañana tras un informe de un usuario que no podía retirar 5k ETH del puente».
‘All your node are belong to us’
Los desarrolladores explicaron además que la cadena Ronin consta actualmente de nueve nodos validadores, cinco de los cuales deben proporcionar sus firmas para que se pueda realizar cualquier depósito o retirada. Como parte de su ataque, el hacker consiguió hacerse con el control de cuatro de estos nodos y utilizó un validador adicional de terceros gestionado por Axie DAO para sustituir al quinto.
«El esquema de claves del validador está configurado para ser descentralizado, de modo que limita un vector de ataque, similar a éste, pero el atacante encontró una puerta trasera a través de nuestro nodo RPC sin gas, de la que abusó para obtener la firma del validador Axie DAO», explicaron los desarrolladores.
Notablemente, esto fue posible porque Sky Mavis solicitó ayuda al Axie DAO el pasado noviembre para «distribuir transacciones gratuitas debido a una inmensa carga de usuarios». Como parte de este acuerdo, el DAO de Axie «permitió» a Sky Mavis firmar transacciones en su nombre.
Sin embargo, si bien el acuerdo se interrumpió en diciembre de 2021, el acceso a la allowlist no fue revocado, según el anuncio.
Avanzando
Tras el ataque de hoy, los desarrolladores de la cadena Ronin han aumentado el umbral de validadores de cinco a ocho y están actualmente «en contacto con los equipos de seguridad de los principales intercambios y se pondrán en contacto con todos en los próximos días.» Además, los nodos de la sidechain están siendo migrados desde la antigua infraestructura.
«Hemos puesto en pausa temporalmente el puente de Ronin para asegurarnos de que no queden abiertos más vectores de ataque. Binance también ha desactivado su puente hacia/desde Ronin para pecar de precavidos. El puente se abrirá en una fecha posterior, una vez que estemos seguros de que no se pueden drenar fondos», declaró Sky Mavis. «Estamos trabajando con Chainalysis para controlar los fondos robados».
Considerando el valor actual en dólares de los activos perdidos, esto puede muy bien convertirse en el mayor hackeo en la historia de las finanzas descentralizadas (DeFi). Mientras que la famosa bolsa de criptomonedas Mt. Gox perdió alrededor de 850.000 Bitcoin en 2014 -que actualmente tendrían un valor de 40.200 millones de dólares-, esa cifra era mucho menor en ese momento, ya que Bitcoin cotizaba a una fracción de su precio actual.
Hasta ahora, se consideraba que el protocolo de puente entre cadenas Poly Network era la mayor víctima de un hackeo de DeFi después de que fuera explotado por unos 604 millones de dólares el pasado agosto. En ese caso, sin embargo, el hacker devolvió más tarde la mayor parte de los fondos robados.
