Ataque hacker rouba US$ 625 milhões da rede blockchain do game NFT Axie Infinity

A Ronin, rede blockchain que oferece suporte ao popular jogo NFT Axie Infinity, viu R$ 625 milhões serem roubados em um ataque hacker. A Sky Mavis, operadora do Ronin e do Axie Infinity, confirmou o ataque, e congelou as transações na rede, que permite depositar e retirar fundos da blockchain da empresa. As informações são do The Verge.

A Sky Mavis também afirmou estar trabalhando com a polícia para recuperar os 173.600 Ethereum (que vale cerca de US$ 600 milhões), e 25,5 milhões de USDC, uma criptomoeda atrelada ao dólar americano, e que possui o mesmo valor de um dólar, do hacker que fez o roubo, no dia 23 de março.

O ataque teve foco no Ronin, que faz o papel de intermediário entre o Axie Infinity e outras blockchains, como o Ethereum. Os usuários podem depositar Ethereum ou USDC para a Ronin, para depois comprarem os itens NFT ou as moedas do jogo, ou podem também vender seus ativos e sacar o dinheiro.

A Sky Mavis explicou que o invasor usou chaves de segurança privadas hackeados para comprometer os nós da rede que validam as transferências feitas na Ronin. Isso permitiu que o hacker retirasse silenciosamente grandes quantidades de Ethereum e USDC. A transferência, apesar de ter sido feita em 23 de março, foi descoberta quase uma semana depois, quando um usuário tentou retirar 5 mil Ethereum.

“Como vimos, o Ronin não está imune à exploração”, disse a Sky Mavis, que também deixou claro que os tokens NFT axie dos jogadores não foram comprometidos, assim como as moedas SLP e AXS, que são usadas no game. Mas o congelamento temporário de saques e depósitos bloqueia a entrada de novos jogadores, além de que um evento como este traz desconfiança aos usuários.

Em um dia, a moeda AXS, que também pode ser negociada por pessoas que não jogam o game, através de plataformas de criptomoedas, já estava operando com 6% de queda.

A desenvolvedora disse que, para resolver o problema, está trabalhando com policiais, criptografos forenses e investidores, para garantir que não haja perda de fundos dos usuários, tratando o assunto como “principal prioridade”. Os nós, no mundo da blockchain, são recursos que revisam as novas transações para confirmar as entradas e saídas, servindo para autorizar apenas transações consideradas adequadas. Usar um número menor de nós, como no caso do Ronin, é mais rápido e eficiente, mas se mostrou também um problema de segurança, caso os nós se tornem vulneráveis.

O ataque ao Ronin foi possível por causa de um atalho da empresa, criado para aliviar uma carga enorme de usuários em novembro no ano passado, logo quando o game explodiu em popularidade em diversos países, entre eles o Brasil. Nesta época, inclusive, já havia pessoas considerando o Axie Infinity como trabalho em tempo integral e principal fonte de renda. Este atalho foi descontinuado em dezembro, mas as permissões não foram revogadas. Isso comprometeu quatro dos nós da Sky Maxis, que permitiu ao hacker obter acesso a um outro nó, gerenciado pelo Axie DAO, da comunidade.

Após comprometer cinco nós, o invasor ganhou acesso total às transações, precisando apenas substituir qualquer segurança de transação, para retirar o valor desejado. A Sky Mavis anunciou que aumentará o número de nós para oito, e reabrirá o Ronin “em um dia posterior”, assim que tiver certeza que sua rede não poderá mais ser invadida. Até o momento, a violação do Ronin é o maior hack de todos os tempos no mundo das “finanças descentralizadas”.

“Sabemos que a confiança precisa ser conquistada e estamos usando todos os recursos à nossa disposição para implantar as medidas e processos de segurança mais sofisticados para evitar ataques futuros”, concluiu a Sky Mavis, em seu comunicado.

Veja, também, nosso vídeo novo no canal, no qual conversamos sobre o papel da Indústria e da comunidade na preservação de videogames.