En breve
- Ronin, la cadena lateral de Ethereum para el juego de NFT Axie Infinity, se ha visto afectada por un exploit considerable.
- En total, se drenaron unos 622 millones de dólares en Ethereum y USDC del puente que conecta a Ronin con la red principal de Ethereum.
Ronín, un Ethereum cadena lateral desarrollada para el exitoso juego NFT Axie Infinity, ha sido el blanco de un hackeo que drenó un valor estimado de USD 625 millones en criptomonedas de su puente.
Desarrollador Sky Mavis anunció la noticia hoy, escribiendo que el exploit tuvo lugar el 23 de marzo, pero solo se descubrió hoy. El atacante usó "claves privadas pirateadas" para ejecutar el exploit, según el informe del equipo, y por lo tanto pudo falsificar transacciones para reclamar los fondos.
En total, el atacante se llevó 173,600 WETH o Wrapped Ethereum (casi 597 millones de dólares) y 25.5 millones USDC Stablecoin ($ 25.5 millones), sumando alrededor de $ 622 millones en fondos criptográficos al momento de escribir este artículo. La mayoría de los fondos robados todavía están sentado en el hacker billeteras.
Según el informe, el atacante pudo firmar transacciones desde cinco de los nueve nodos de validación actuales en la red Ronin, que es el umbral necesario para aprobar firmas. Finalmente, el atacante obtuvo acceso a los cuatro validadores de Sky Mavis, junto con uno operado por Axie DAO.
“El esquema de la clave del validador está configurado para ser descentralizado de modo que limite un vector de ataque, similar a este, pero el atacante encontró una puerta trasera a través de nuestro nodo RPC sin gas, del cual abusaron para obtener la firma del validador Axie DAO. ”, dice el informe.
“Esto se remonta a noviembre de 2021 cuando Sky Mavis solicitó ayuda de Axie DAO para distribuir transacciones gratuitas debido a una inmensa carga de usuarios”, continúa. “Axie DAO incluyó a Sky Mavis en la lista de permitidos para firmar varias transacciones en su nombre. Esto se suspendió en diciembre de 2021, pero el acceso a la lista de permitidos no se revocó”.
Sky Mavis dijo que recurrió a las fuerzas del orden, los criptógrafos forenses de Chainalysis y sus propios inversores para "asegurarse de que todos los fondos se recuperen o reembolsen".
durante una entrevista en el escenario en la conferencia NFT LA de hoy, el cofundador de Axie Infinity, Jeff Zirlin, lo describió como "uno de los trucos más grandes de la historia". Algunos de los fondos drenados ya se enviaron de la billetera del atacante a los intercambios, y Zirlin dijo que "existe la posibilidad de que puedan ser identificados y llevados ante la justicia".
Fuente: https://decrypt.co/96322/hacker-622-million-axie-infinity-ronin-ethereum