Hacker rouba US$ 625 milhões da blockchain do jogo NFT Axie Infinity

Cerca de US$ 625 milhões em Ethereum foram roubados da Ronin, Blockchain responsável por registrar as transações do popular game NFT Axie Infinity. A desenvolvedora Sky Mavis revelou nesta última terça-feira (29) e congelou as transações na Ronin. 

Foram 173,600 Ethereum roubados da blockchain e mais 25.5 milhões de USDC (Criptomoeda associada ao dolar americano). De acordo com informações divulgadas, o roubo aconteceu no dia 23 de março, mas só foi informado pela desenvolvedora no dia 29. 

A desenvolvedora afirma que o hacker atacou a ponte da Ronin que conectava a blockchain ao Axie Infinity. O hacker conseguiu chaves de segurança que comprometeram a rede que validava as transferências da blockchain e para a blockchain. Isso permitiu que quantidades elevadas de Ethereum fossem transferidas silenciosamente pela blockchain. A Sky Mavis descobriu que algo estava errado quando percebeu a tentativa de retirada de 5.000 Ethereum da blockchain.

Axie Infinity não foi comprometido

A desenvolvedora afirma que os tokens NFT, além do sistema de criptomoedas SLP e AXS utilizados no game, não foram comprometidos. O congelamento das transações, no entanto, dificulta a entrada de novos jogadores no game. A Sky Mavis está trabalhando em conjunto com a justiça para garantir que não ocorra perda de fundos dos usuários.

Como descobrimos, a Ronin não é imune a roubos e esse ataque reforçou a importância de priorizar a segurança, permanecendo vigilante e mitigando todas as emaças. Sabemos que a confiança precisa ser ganha e estamos utilizando todos os recursos possíveis a nossa disposição para implementar as medidas de segurança mais sofisticadas para prevenir ataques futuros – Sky Mavis, declaração oficial

Segundo a empresa o ataque foi possível, pois o hacker aproveitou um atalho criado pela desenvolvedora na época em que o jogo explodiu – novembro de 2021 – em alguns países, como as Filipinas, onde usuários começaram a tratar o game como um emprego de tempo integral.

Foi criado um sistema, descontinuado em dezembro, que facilitava a verificação das transações, porém mesmo não sendo mais utilizado as permissões do sistema não foram revogadas. Dessa forma o hacker teve acesso a quatro nodes de validação de transações e conseguiu corromper um quinto, que pertencia a Organização Autônoma Descentralizada (DAO) da comunidade do Axie Infinity. Com acesso a cinco nodes de validação, dos nove disponíveis, o hacker poderia burlar com facilidade todos os sistemas de segurança.

A Sky Mavis afirmou que uma das medidas será aumentar a quantidade de nodes que precisam ser verificados – para 8 ao invés de 5 – antes de validar qualquer transação.

Via: The Verge, Ronin