Network-Secure Campanha 01 Desktop Entrada: 22062022 21h52m
blockchain-3944194_1280.jpg

Hackers roubam mais de US$ 600 milhões de blockchain de jogos

De acordo com a plataforma de blockchain Ronin Network, os nós validadores da Sky Mavis, desenvolvedora dos games Axie Infinity e Axie DAO, foram comprometidos
Da Redação
30/03/2022

A Ronin Network, plataforma de blockchain desenvolvida para os games de NFTs Axie Infinity Axie DAO, anunciou na terça-feira, 29, que foi atacada por hackers na semana passada, em que criptomoedas avaliadas em aproximadamente US$ 625 milhões, ou 173.600 Ethereum (cerca de R$ 3 bilhões na cotação do dólar do dia), foram roubadas, em um dos maiores hacks de DeFi (sigla em inglês para finanças descentralizadas) já registrados até hoje.

De acordo com uma postagem no blog, publicada pelo substack oficial da Ronin Network, os nós validadores da Sky Mavis, desenvolvedora do Axie Infinity e do Axie DAO, foram comprometidos. O post diz que a cadeia Ronin da Sky Mavis tem nove nós validadores, dos quais cinco assinaturas validadoras são necessárias para reconhecer um evento de depósito ou um evento de retirada. O esquema de chave do validador é configurado para ser descentralizado com o propósito de limitar um vetor de ataque.

Entretanto, nesse ataque, o invasor conseguiu controlar os quatro validadores Ronin da Sky Mavis e um validador terceirizado executado pela Axie DAO. “O invasor encontrou uma backdoor em nosso nó RPC [remote procedure call, um uso de subrotina] gas-free [sem taxa de corretagem], que eles exploraram para obter a assinatura do validador Axie DAO”, acrescentou a postagem.

Isso remonta a novembro de 2021, quando a Sky Mavis solicitou ajuda do validador Axie DAO para distribuir transações gratuitas devido a uma imensa carga de usuários. Embora o Axie DAO tenha permitido que o Sky Mavis assinasse várias transações em seu nome, ele foi descontinuado em dezembro de 2021. No entanto, o acesso à lista de permissões ainda não foi revogado. Depois que o invasor obteve acesso aos sistemas Sky Mavis, ele conseguiu obter a assinatura do validador Axie DAO usando o RPC gas-free.

Especialistas em cibersegurança da Check Point Software avaliam que o invasor “usou chaves privadas hackeadas para forjar saques falsos” da ponte Ronin em duas transações. Embora o hack tenha ocorrido em 23 de março, ele só foi descoberto na manhã de terça-feira, depois que um usuário informou que não conseguiu retirar 5.000 ETH da rede da ponte.

Veja isso
Golpistas lucraram US$ 9 milhões com ‘wash trading’ de NFTs
Usuários perdem US$ 3 milhões em NFTs com ataque ao OpenSea

“Graças ao anonimato inerente à tecnologia blockchain, há um baixo risco e uma alta recompensa aos cibercriminosos. É por essa razão que vemos eles multiplicarem seus esforços para explorar quaisquer vulnerabilidades que existam no ecossistema de blockchain”, diz Oded Vanunu, líder de pesquisa de vulnerabilidade de produtos da Check Point Software. 

Vanunu explica que a blockchain como tecnologia é descentralizada por design, tornando extremamente difícil a exploração de sua funcionalidade principal. “Mas, as empresas não podem correr o risco de se tornarem complacentes. Uma rede tão grande quanto a Ronin, que era a rede blockchain que alimentava o jogo Axe Infinity, tinha apenas nove validadores. Normalmente esperávamos muito mais. Ao comprometer apenas cinco deles, o invasor conseguiu orquestrar um dos maiores roubos de criptomoedas feitos até hoje, falsificando transações de NFTs [certificados de propriedade digital ou tokens não-fungíveis como também são conhecidos].” 

Os nós de validação da ponte Ronin foram invadidos na quarta-feira, dia 23, mas a Sky Mavis afirmou que só descobriu a violação quase uma semana depois, na terça-feira, dia 29. “O cibercriminoso usou senhas privadas hackeadas para falsificar duas transações de saque, resultando em um roubo de mais de US$ 600 milhões em criptomoedas”, observa Vanunu.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)