Hackean a Axie Infinity por 625 millones de dólares... y nadie se da cuenta

Hackean a Axie Infinity por 625 millones de dólares... y nadie se da cuenta

Una búsqueda rápida en Google me dice que el robo bancario más grande de la historia tuvo lugar en Bagdad, Irak, donde se robaron 282 millones de dólares. Se sospecha que fue un trabajo interno, orquestado por varios guardias bancarios. Mientras tanto, el robo bancario promedio en Estados Unidos es aparentemente de $6,500 .

Es fácil perder la perspectiva al leer sobre estas grandes cantidades de dinero en criptografía. Pero en comparación con las cifras del mundo real anteriores, realmente se da cuenta de cuán grande es el último truco en criptografía.

Axie Infinity es un juego de comercio y lucha basado en blockchain donde los jugadores pueden criar, criar e intercambiar criaturas basadas en fichas llamadas Axies. Es una de las mayores historias de éxito en los juegos criptográficos; con una capitalización de mercado de $3.9 mil millones, se encuentra dentro de los 50 principales criptos.

La semana pasada, Axie fue pirateada por 625 millones de dólares. Y nadie se dio cuenta.

Adiós $625 millones

Ayer, se reveló que se robaron $ 625 millones de Ronin, que es la cadena de bloques subyacente a Axie. Si bien los fondos robados se revelaron en un comunicado en substack, el hackeo en realidad ocurrió seis días antes. “Ha habido una brecha de seguridad”, arranca el comunicado. Sí, ciertamente lo ha hecho.

El puente Ronin, que facilita depositar y retirar, fue explotado por 173.600 ETH (cerca de 600 millones de dólares) y 25,5 millones de dólares de la moneda estable USDC. Es importante destacar que Sky Mavis confirmó que los tokens Axie NFT (utilizados para ingresar al juego Axie Infinity), así como las monedas del juego AXS y ALP, estaban a salvo. Pero es un caso asombroso de negligencia con respecto a la custodia de los fondos de los inversores.

Nos reunimos con Ahmad Duais, director ejecutivo de Battle Drones , que es un juego en el que se gana dinero en la cadena de bloques de Solana, para obtener algunas opiniones dentro de la industria. Dijo que “los puentes siguen siendo un área de desarrollo. El modelo de GameFi es una revolución tal que en un futuro próximo todos recordaremos esto como una curva de aprendizaje similar a los hacks que han ocurrido al comienzo de cualquier innovación".

¿Cómo?

Sky Mavis, que dirige tanto Axie Infinity como Ronin, declaró que "el atacante usó claves privadas pirateadas para falsificar retiros". El ataque se descubrió ayer cuando un usuario no pudo retirar 5000 ETH (17 millones de dólares) del puente. El hacker había completado previamente dos retiros falsos.

En otras palabras, una falla en el código de Sky Mavis permitió al pirata informático obtener el control de los validadores de Sky Mavis, que junto con los validadores de terceros le otorgaron al pirata informático la libertad de vaciar las arcas por una suma de más de $600 millones. Los desarrolladores de Sky Mavis no solo dejaron caer la pelota sobre el código, sino que tardaron casi una semana en darse cuenta de que tenían un agujero de 600 millones de dólares en su hoja de balance.

Fondos

Es el segundo hack criptográfico más grande de todos los tiempos, justo detrás del hackeo de Poly Network el verano pasado, aunque el hacker devolvió esos fondos. En este caso, Ronin confirmó que están "trabajando con los funcionarios encargados de hacer cumplir la ley, los criptógrafos forenses y nuestros inversores para asegurarse de que todos los fondos se recuperen o reembolsen". Sin embargo, si tienen éxito o no es una historia completamente diferente; a partir de ahora, cualquier jugador que depositó dinero en Ronin lo ha perdido todo.

Ethscan muestra la ubicación de los fondos

Blockchain es bockchain, sin embargo, la ubicación de los fondos se puede ver en este momento, con los $600 millones de ETH ubicados cómodamente en la billetera anterior en la cadena de bloques Ethereum.

La cadena de bloques también permite que se ingresen mensajes como parte de las transacciones. Al buscar en la billetera del hacker, puede ver que varios inversores que perdieron sus fondos han tratado desesperadamente de apelar a cualquier lado humano que pueda existir dentro de la mente del hacker.

Una víctima le grita al hacker en ethscan

También es un claro recordatorio de que, a pesar de todo el progreso que ha logrado DeFi, sigue siendo una industria naciente llena de riesgos. Va a lugares emocionantes, pero el viaje a veces puede ser difícil, como en cualquier industria nueva. Esta semana, vimos más de 600 millones de ejemplos de estos.