A Ronin Network (RON), sidechain do Axie Infinity, foi vítima de um ataque hacker na semana passada, com os criminosos conseguindo roubar cerca de US$ 625 milhões dos usuários da rede.
Na última quarta-feira (23), cinco dos nove nós validadores da rede Ronin foram comprometidos pelos invasores, que conseguiram dessa forma drenar em apenas duas transações 173.600 unidades de Ethereum (ETH) e 25,25 milhões de unidades de USD Coin (USDC).
Pela cotação atual, o montante roubado é de aproximadamente US$ 625 milhões, sendo o maior valor já visto em um ataque hacker contra um protocolo de finanças descentralizadas (DeFi).
Apesar da invasão e do alto montante transferido, a equipe de segurança da Ronin só ficou ciente do ocorrido na manhã desta terça-feira (29), após um usuário relatar problemas na hora de sacar seus fundos em ETH da rede.
Após o anúncio, os tokens AXS e RON sofreram fortes quedas. Enquanto o primeiro chegou a desabar cerca de 10% em apenas algumas horas, o segundo desvalorizou quase 30%, segundo o CoinGecko.
- Não entendeu algum termo do universo Web3? Confira no nosso Glossário!
- Quer se manter atualizado em tudo o que é relevante no mundo cripto? O BeInCrypto tem uma comunidade no Telegram em que você pode ler em primeira mão as notícias relevantes e conversar com outros entusiastas em criptomoedas. Confira!
- Você também pode se juntar a nossas comunidades no Twitter (X), Instagram e Facebook.
Ação dos hackers
A Ronin Network opera com nove validadores, sendo necessário à validação de cinco destes para a autorização de um depósito ou saque em sua rede. Dessa forma, ao controlar todos os quatro validadores da Sky Mavis, empresa proprietária do Axie Infinity, e um validador terceirizado da Axie DAO, os hackers conseguiram ter acesso livre para transferir os fundos depositados na sidechain.
Segundo o comunicado, a porta de entrada para os criminosos teria sido o nó RPC sem taxas da rede, que deu acesso a assinatura do validador do Axie DAO. Em novembro do ano passado, a Sky Mavis assinou diversas validações neste nó como se fosse o Axie DAO, para evitar que a Ronin sofresse um congestionamento de rede.
Vale lembrar que a sidechain chegou a processar cinco vezes mais transações do que a rede principal do Ethereum em momentos de pico. Apesar dessa ação da proprietária do Axie Infinity ter sido pontual, o acesso à lista de permissões deste nó não foi revogado, com a brecha sendo explorada pelos hackers.
“Uma vez que o invasor obteve acesso aos sistemas Sky Mavis, ele conseguiu obter a assinatura do validador Axie DAO usando o RPC sem taxas. Confirmamos que a assinatura nos saques fraudulentos corresponde aos cinco validadores suspeitos.”
Medidas tomadas pela Ronin
A equipe responsável pela Ronin anunciou diversas mudanças para “se proteger de futuros ataques” e resolver a brecha explorada pelos criminosos. Entre elas, está a paralisação temporária da sidechain e da exchange descentralizada (DEX) do Axie Infinity, a Katana.
A rede também informou estar trabalhando com a empresa de segurança cripto Chainalysis e com diversas agências governamentais para “monitorar os fundos roubados” e “garantir que os criminosos sejam levados à justiça”.
Por fim, foi anunciado que a partir de agora a Ronin exigirá a validação de oito dos nove validadores para que uma transação de saque ou deposito seja confirmada em sua rede. “Estaremos expandindo o conjunto de validadores ao longo do tempo, em um cronograma acelerado”.
Para Heloísa Passos, CEO da Sp4ce Games, maior empresa de jogos play-to-earn (P2E) do Brasil, a pouca quantidade de nós validadores que a Ronin possui no momento já era um indicativo de falta de segurança e centralização da rede.
“O ocorrido, que veio a tona hoje, mostra o quanto é importante a descentralização. Um projeto desse tamanho ter apenas nove validadores, praticamente todos da Sky Mabis, apresenta algo que poderia ser um indício de falha de segurança”.
A líder da Sp4ce Games, que recentemente fechou parceria com a exchange CoinEx, ainda destaca que a descentralização de qualquer rede e uma maior aplicação de governança da própria comunidade reforçam sua estabilidade perante possíveis invasores.
Isenção de responsabilidade
Todas as informações contidas em nosso site são publicadas de boa fé e apenas para fins de informação geral. Qualquer ação que o leitor tome com base nas informações contidas em nosso site é por sua própria conta e risco.
