El desarrollador de Axie Infinity, Sky Mavis, anunció el pasado martes 29 de marzo de 2022 una violación masiva de su cadena lateral de criptomonedas Ronin. Un atacante utilizó "llaves privadas hackeadas" para romper la red de validadores de Ronin, dice Sky Mavis, transfiriendo 173.600 ethereum (con un valor aproximado de $594 millones al cambio actual) y $25,5 millones en stablecoin USDC como parte de una de las mayores violaciones en la historia de la cripto divisa.

Para entender la naturaleza de esa brecha, hay que entender la historia de Axie Infinity y la compleja red de normas y tecnologías de criptografía que ayudaron a permitir que el exploit ocurriera.

¿Se puede ganar dinero jugando a un juego?

Axie Infinity ha sido citado como una de las primeras historias de éxito en los llamados juegos de blockchain. Este tipo de juegos utilizan protocolos descentralizados para hacer un seguimiento de la propiedad de ciertos objetos del juego y, por lo general, permiten a los jugadores tener cierto control sobre la reventa de esos objetos.

Para jugar a Axie Infinity, los jugadores tienen que comprar al menos tres NFT de Axies jugables en el mercado abierto (o pedirlos prestados a los propietarios). Al jugar con esos Axies, los jugadores ganan algunas SLP (Pociones de Amor Suave por sus siglas en inglés), que pueden potenciar los Axies o ser vendidas a otros jugadores como mercancía, creando un bucle de "jugar para ganar".

El año pasado, este sistema suscitó tanta expectación y dinero que algunos jugadores filipinos pudieron ganar un sueldo decente simplemente jugando a tiempo completo. Pero ese éxito inicial ayudó a atraer a más jugadores que esperaban subirse al tren de jugar para ganar, lo que inundó el mercado de SLP.

Con la llegada de pocos compradores nuevos para adquirir todos esos SLP, el valor de las pociones (en dólares) se ha desplomado aproximadamente un 80% desde principios de noviembre y un enorme 95% desde su máximo en mayo pasado, según CoinGecko empresa de criptomonedas. A medida que el valor de la SLP se ha desplomado, también lo ha hecho el número de jugadores activos diarios de Axie Infinity y el número de nuevos jugadores que compran nuevos Axies.

El eslabón débil de la cadena (lateral)

Aunque Axie Infinity funcionaba originalmente de forma directa en la blockchain de Ethereum, los elevados costes de las transacciones y la lentitud de las mismas en esa red se hicieron rápidamente insostenibles a medida que el juego crecía. Para evitar esas tarifas, Sky Mavis empezó a utilizar en 2020 una cadena lateral, una cadena de bloques privada paralela que se ejecutaba sobre Ethereum y que podía evitar la necesidad de pagar "gasolina" de Ethereum por cada transacción.

Sky Mavis se asoció inicialmente con Loom Networks para esta funcionalidad de cadena lateral o sidechain. Sin embargo, en marzo de 2020, la compañía rompió esa asociación e introdujo su propia sidechain llamada Ronin.

A diferencia de la blockchain distribuida de prueba de trabajo de Ethereum, la sidechain de Ronin funciona con un sistema de prueba de autoridad mucho más centralizado. En lugar de consultar a toda la red distribuida de blockchain para confirmar las transacciones, este sistema de prueba de autoridad ejecuta sus transacciones a través de un pequeño conjunto de nodos "validadores" de confianza, elegidos a dedo. Cada nodo se juega parte de su reputación en la validación de cada transacción, castigando teóricamente a los actores solitarios que intentan jugar con el sistema.

Las bolsas centralizadas como Binance y las descentralizadas como Katana permiten a los usuarios un "puente" para transferir sus activos del juego entre Ronin y la cadena de bloques principal de Ethereum. Pero como esas transferencias pueden realizarse de forma más ocasional y a escala, los costes de transacción acaban siendo mucho más bajos.

El sistema de prueba de autoridad de Ronin, centralizado en sólo nueve nodos validadores, es la clave de su capacidad para proporcionar un mayor volumen de transacciones a un coste mucho menor que la extensa red de Ethereum. En este caso, también acabó siendo el punto débil de Ronin.

Como explica Sky Mavis, el atacante desconocido fue capaz de vulnerar los sistemas de Sky Mavis y obtener acceso completo a cuatro nodos validadores que controla la empresa. A continuación, el atacante fue capaz de utilizar una puerta trasera sobrante en esos nodos para obtener el control de otro validador controlado por el DAO descentralizado Axie.

Con ese quinto nodo validador, el atacante podía entonces proporcionar una mayoría de firmas de validación en cualquier transacción que quisiera, lo que llevó a las transferencias fraudulentas. Las consecuencias

Aunque el ataque se produjo el pasado miércoles 23 de marzo, Sky Maven dijo que no se dio cuenta del problema hasta la madrugada del martes, cuando un usuario intentó transferir 5.000 ETH de la red y no lo consiguió. "El hecho de que nadie se dé cuenta durante seis días grita en voz alta que debería haber alguna estructura para vigilar las transferencias ilícitas", dijo a Bloomberg el jefe de Securitize Capital, Wilfred Daye.

Sky Mavis dice que todos los tokens de los usuarios de la red Ronin "están a salvo en este momento" y que la compañía está "trabajando con los agentes de la ley, los criptógrafos forenses y nuestros inversores para asegurarse de que todos los fondos se recuperan o se reembolsan."

Por ahora, sin embargo, los usuarios legítimos no pueden retirar o depositar fondos hacia o desde la red Ronin ni en Katana ni en Binance. "El puente se abrirá en una fecha posterior una vez que estemos seguros de que no se pueden drenar fondos", dijo la compañía.

Y Sky Mavis también dice que está "en proceso de discusión con las partes interesadas de Axie Infinity / Sky Mavis sobre la mejor manera de avanzar y asegurar que no se pierdan los fondos de los usuarios", lo que suena un poco incierto.

Para ayudar a prevenir ataques similares en el futuro, Sky Mavis dijo que ahora requerirá que ocho de los nueve validadores de Ronin estén de acuerdo con todas las transacciones, en lugar de sólo una mayoría de cinco.

La caza

La mayor parte de las ganancias mal habidas del atacante de Ronin se encuentran actualmente en una nueva cartera de Ethereum. Sin embargo, algo más de 6.000 ETH se han transferido a otras direcciones, lo que hace que algunos esperen que los investigadores puedan seguir el rastro del dinero para localizar al culpable.

"-El atacante- envió algunos tokens a intercambios, lo que significa que hay una posibilidad de que pueda ser identificado y llevado ante la justicia", dijo el cofundador de Axie Infinity, Jeff Zirlin, durante una presentación el martes en la conferencia NFTLA.

El verano pasado, un ataque distinto a la popular sidechain Polygon capturó unos 600 millones de dólares en criptoactivos, pero la mayoría de esos fondos fueron devueltos a partir del día siguiente

En febrero de este año, un hacker informático consiguió robar criptodivisas por valor de 320 millones de dólares explotando el puente entre las blockchains de Ethereum y Solana. La empresa de comercio Jump Crypto terminó reponiendo esos fondos por sí misma "para que los miembros de la comunidad estén completos y apoyen a Wormhole ahora mientras continúa desarrollándose."