Delincuentes cibernéticos atacaron el videojuego Axie Infinity, y se robaron 625 millones de dólares en criptomonedas.

Según confirmaron los directivos de la empresa de juegos, el incidente ocurrió el miércoles pasado cuando los atacantes se infiltraron en parte de Ronin, la cadena de bloques subyacente que impulsa el juego.

En un comunicado de prensa, la compañía informó que el 23 de marzo pasado los nodos de validación Ronin de Sky Mavis y los nodos de validación Axie DAO se vieron vulnerados, lo cual generó una importante pérdida de fondos.

Pero la empresa se enteró de la vulnerabilidad hace apenas unas horas, luego de que un usuario informara que no podía retirar 5.000 ethers usando el puente de la cadena.

“La mayoría de los fondos hackeados todavía está en la billetera del hacker”, explicaron los directivos.

¿Cómo ocurrió el robo millonario?

Aunque la empresa todavía está investigando el ataque, advirtió que los ciberdelincuentes obtuvieron “claves” privadas para retirar fondos digitales.

Según pudieron reconstruir, las criptomonedas fueron retiradas del puente Ronin en dos transacciones dónde el atacante utilizó claves privadas robadas para falsificar los retiros.

"El esquema de la clave del validador está configurado para ser descentralizado, de modo que limite un vector de ataque como este, pero el delincuente encontró una puerta trasera a través de nuestro nodo RPC sin gas, del cual abusaron para obtener la firma del validador Axie DAO", detallaron desde la compañía.

“Sabemos la confianza debe ganarse y estamos utilizando todos los recursos a nuestra disposición para implementar las medidas y procesos de seguridad más sofisticados para prevenir futuros ataques”, dijeron los directivos de la empresa.

Y añadieron: “Estamos trabajando con funcionarios judiciales, criptógrafos forenses y nuestros inversores para asegurarnos de que no se pierdan los fondos de los usuarios”.

¿De qué se trata el juego?

En Axie Infinity, los jugadores participan en batallas y reciben recompensas que pueden cambiar por criptomonedas o dinero en efectivo.

Para jugar deben comprar mínimo tres Axies, que son NFT (tokens no fungibles, por sus siglas en inglés) y se almacenan en un blockchain o cadena de bloques.

Quien posea Axies los puede comprar, vender o alquilar a otros jugadores. Los propietarios también pueden “criarlos” para crear nuevos Axies con más valor.

El juego ya había estado en el centro de la polémica en el pasado por el dinero que requiere que se desembolse para jugar. A raíz de estos reclamos, la compañía lanzó un programa de becas que vincula a jugadores asiduos que carecen de dinero suficiente con otros usuarios que tienen los fondos, pero no tienen la suficiente habilidad o tiempo para dedicarse al juego. De este modo, logran potenciar la participación de los jugadores.

¿Cuáles fueron las medidas que tomó la empresa después de enterarse del robo? “Nos movimos rápidamente para abordar el incidente una vez que se supo y estamos tomando medidas activamente para protegernos contra futuros ataques”, aseguraron los directivos. Asimismo, para evitar más daños a corto plazo, aumentaron el umbral del validador de cinco a ocho. La empresa está en contacto con los equipos de seguridad en los principales exchange de cripto. Además, están migrando los nodos que están completamente separados de la antigua infraestructura. Detuvieron temporalmente el puente Ronin para garantizar que no queden más vectores de ataque abiertos. Binance también deshabilitó su puente desde y hacia Ronin para añadir otra capa de seguridad.

La compañía está trabajando con Chainalysis para monitorear los fondos robados. Los directivos de la empresa ya se pusieron en contacto con varias agencias gubernamentales para garantizar que se identifique a los criminales.