Hackegen el videojoc Axie Infinity i roben més de 600 milions de dòlars en criptomonedes

Ronin Network, una xarxa especialitzada en jocs vinculada a la criptomoneda Ethereum, ha fet públic que pirates informàtics han robat criptomonedes per un valor actual de gairebé 615 milions de dòlars --uns 551 milions d'euros--, entrant al seu sistema de blockchain, o comptabilitat digital.

Ronin ha explicat en el seu blog que hackers no identificats van robar el 23 de març passat 173.600 d'ethereums i 25,5 milions de dòlars en criptomoneda estable, USDC. Els fons, que en el moment de ser robats valien al voltant dels 485 milions d'euros, al canvi actual superen els 550 milions. Això fa que si en un primer moment era el segon robatori de criptografia més gran registrat, segons la companyia d'anàlisi de blockchain Elliptic, ara ja ocupa la primera posició.

Una blockchaine, que en anglès vol dir "cadena de blocs", és una base de dades on s'enregistra la informació de les transaccions de valor entre usuaris en forma de blocs enllaçats per protegir la seguretat i la privacitat.

Ronin és una blockchain desenvolupada per la companyia Sky Mavis, amb seu a Singapur, propietària d'Axie Infinity, un dels videojocs de blockchain més popular del món.

Per entendre com ha estat possible el robatori cal saber com funciona el joc Axie Infinity, i quin paper hi té la xarxa de Ronin.

Axie Infinity, Ronin i Katana DEX

Axie Infinity és un videojoc per a ordinador semblant a Pokémon, que funciona a través de blockchain, on els jugadors crien i lluiten amb monstres digitals anomenats "axies". Els jugadors reben recompenses que poden canviar per criptomonedes o diners en efectiu.

Per jugar-hi cal comprar com a mínim tres Axies, que són NFT (tokens no fungibles) i s'emmagatzemen en una blockchain o llibre de comptabilitat digital immodificable.

Axie Infinity té la col·lecció NFT més gran per volum de vendes de tots els temps, que segons el rastrejador del mercat de NFT CryptoSlam, supera els 4.000 milions de dòlars de negoci.

Els propietaris dels Axies els poden comprar, vendre o llogar a altres jugadors. Els propietaris també poden "criar-los" per crear nous Axies amb més valor.

Ronin és la blockchain que utilitza el joc, vinculada a la xarxa Ethereum, a través de la qual es gestionen aquestes transaccions. Les criptomonedes que utilitza el joc són l'Ethereum, els USDC (criptomoneda estable que té el mateix valor que el dòlar), i els SLP (Smooth Love Potion) i AXS (Axis Infinity Shards), aquestes últimes, creades especialment per al joc.

Per fer les transaccions més ràpides i més barates, Sky Mavis i Ronin van crear una aplicació de canvi de criptomonedes pròpia, Katana DEX (canvi descentralitzat), que donava l'agilitat necessària per al funcionament del joc.

Els validadors, un taló d'Aquil·les

Les transaccions en una blockchain han de ser validades per nodes abans de ser donades per bones i "inscrites" en aquest llibre de comptabilitat digital. Així, com més validadors hi hagi a la blockchain més segura serà. Però també, més lent i més car serà el procés de validació.

Tal com explica Ronin, i han detallat els analistes d'Elliptic, el robatori es va produir quan els hackers van piratejar els "nodes validadors" de Ronin. Per traslladar els fons o moure'ls a altres comptes, només cal l'aprovació de 5 dels 9 validadors que té el sistema. El hacker va aconseguir les claus criptogràfiques privades de cinc dels validadors, i amb això en va tenir prou per robar els criptoactius.

Tenint en compte que als ecosistemes d'Ethereum o Bitcoin es necessita la validació d'entre 200.000 i 300.000 nodes, la seguretat podia quedar fàcilment compromesa.

Encara no s'han recuperat els diners

En el seu comunicat, Ronin ha explicat que va descobrir el robatori i la bretxa en el sistema aquest dimarts quan va intentar, sense èxit, retirar ethereums. El furt es va fer en dues vegades, per robar els ethereums i els USDC, però el hackeig sembla que es remunta a mesos abans, fins que van aconseguir les claus privades necessàries.

De moment, "la majoria dels fons encara es troben a la cartera digital del pirata informàtic", segons Ronin, que treballa per identificar els lladres.

"Estem treballant directament amb diverses agències governamentals per garantir que els delinqüents siguin portats davant la justícia."

També ha acudit al principal rastrejador de blockchain, Chainalysis, per localitzar i recuperar els fons robats.

La companyia també diu que estudia amb Axie Infinity com assegurar que no es perdin els fons dels usuaris. "Ara, els usuaris de Ronin no poden retirar ni dipositar fons a la xarxa", diu el comunicat de Ronin. Però el joc no s'ha aturat i Axie Infinity ha assegurat que es pagaran les recompenses.

We've received some questions regarding a recent unlock of AXS tokens from the vesting contract.

This was done by Axie Infinity so we could deposit AXS to Ronin Network before pausing the bridge.

A part of that AXS will be going to winners in Season 20.

We are here to stay.

— Axie Infinity?? (@AxieInfinity) March 29, 2022

Altres grans criptorobatoris

Ja fa temps que els pirates informàtics s'han fixat en el món criptogràfic i els lladres hi han descobert un camp per córrer. El departament especialitzat en criptomoneda de Jump Trading, format per investigadors en matemàtica, física i informàtica, va retornar el mes passat, segons publica la revista tecnològica Cnet, més de 320 milions de dòlars a la plataforma de criptografia Wormhole, de DeFi, finances descentralitzades, que havia estat objecte d'un dels grans robatoris de criptografia.

L'agost passat, els mateixos pirates informàtics van tornar gairebé tots els més de 610 milions de dòlars que van robar del lloc Poly Network de DeFi, el més gran que s'havia registrat mai.

La revista recorda també que el 2018 es van robar tokens digitals per valor d'uns 530 milions de dòlars de la plataforma Coincheck de Tòquio.

Mt. Gox, una aplicació japonesa d'intercanvi de criptomoneda, va caure el 2014, després que els pirates informàtics robessin 500 milions de dòlars de criptomonedes.