El hackeo de $612 millones de Ronin expone estas vulnerabilidades de los puentes entre cadenas

Desde hace bastante tiempo, multicadena o cadena cruzada La tecnología se ha convertido en un santo grial en el espacio de desarrollo de criptomonedas. La gente quiere realizar transacciones con otras cadenas de bloques aprovechando los puentes a diferentes ecosistemas. Por ejemplo, el cofundador y desarrollador de Ethereum Vitalik Buterín tuiteó un enlace a una publicación de Reddit el 8 de enero de 2022.

Discutió su creencia en un futuro de cadenas múltiples, pero expresó dudas sobre los ecosistemas de cadenas cruzadas. En su argumento, Buterin citado los «límites de seguridad fundamentales de los puentes» como la razón clave de su desaprobación de un entorno de cadena cruzada.

Aunque, no esperaba que surgieran contratiempos en el corto plazo. Pero tenga en cuenta esto: a medida que crecía el volumen de criptomonedas contenidas en los puentes, también aumentaba el incentivo para atacarlos.

Desde entonces, los piratas informáticos han comprometido más de $ 1B a pesar de tales advertencias.

Mira hacia otro lado, Vitalik

Red Roninun Cadena lateral basada en Ethereum creado por axie infinito desarrollador cielo mavis es tendencia por la razón equivocada. Los piratas informáticos robaron casi 600 millones de dólares en tokens de Ethereum y USDC del Puente Ronin que conectaba diferentes cadenas de bloques.

Según una entrada de blog publicada por Substack oficial de Ronin Networkel exploit afectó a los nodos de validación de Ronin Network para Sky Mavis, los editores del popular juego Axie Infinity y el Axie DAO.

Ha habido una brecha de seguridad en la Red Ronin.https://t.co/ktAp9w5qpP

— Ronin (@Ronin_Network) 29 de marzo de 2022

Según un funcionario declaración el martes, el atacante «utilizó claves privadas pirateadas para falsificar retiros» del contrato del puente Ronin en dos transacciones. Según la publicación del blog, la cadena lateral de Ronin constaba de nueve nodos de validación.

Se requieren cinco de las nueve firmas del validador para procesar un depósito o retiro. De hecho, hecho para evitar hacks de esta naturaleza. (Por contexto, Ethereum tiene alrededor de 300,000 validadores, mientras que Solana tiene cerca de 1,000)

Sin embargo, la publicación del blog agregó:

“El atacante encontró una puerta trasera a través de nuestro nodo RPC sin gas. Abusaron para obtener la firma del validador Axie DAO”.

El puente Ronin y Katana Dex consiguieron detenido tras sufrir un exploit por 173.600 Ethereum (ETH) y 25,5 millones Moneda USD (USDC). En el momento de la publicación, tendría un valor combinado de $ 612 millones.

Estamos trabajando con funcionarios encargados de hacer cumplir la ley, criptógrafos forenses y nuestros inversores para asegurarnos de que todos los fondos se recuperen o reembolsen. Todos los AXS, RON y SLP en Ronin están a salvo en este momento.

— Ronin (@Ronin_Network) 29 de marzo de 2022

¿Solo un comienzo?

Ahora, aquí hay algunas ideas interesantes sobre este atraco. Dicho exploit tuvo lugar el 23 de marzo, solo se descubrió una semana después, cuando un usuario no pudo retirar 5,000 ETH.

Alrededor de 6250 ether, o $21 millones, se movieron fuera de la dirección de la billetera del atacante, incluidos varios ETH transferidos a FTX Exchange, según Etherscan.

Imagina robar 600 millones hace 6 días y depositar dinero en @FTX_Officialhttps://t.co/nYWYC1jJ1J pic.twitter.com/YGzr7uyk5Q

— Igor Igamberdiev (@FrankResearcher) 29 de marzo de 2022

Antes del exploit, la misma billetera interactuó con Binancey otras billeteras conectadas al hacker desde entonces han hecho depósitos a FTX y cripto.com. según Cadena de bloques de Wuel último éxodo se produjo de la siguiente manera:

A las 5:11:46 p. m. UTC del 29 de marzo, se transfirió un total de 3750 ETH desde tres billeteras de direcciones de piratas informáticos de Ronin Bridge a Huobi. El truco de Ronin Bridge rara vez se cruza con muchas direcciones de intercambio centralizadas. Previamente transferido a FTX. https://t.co/T8OY9VKWeP

— Wu Blockchain (@WuBlockchain) 30 de marzo de 2022

Próximos pasos

El equipo de Ronin dijo que había aumentado a ocho el número mínimo de firmas de validación requeridas para un depósito o retiro en respuesta al incidente. Distintas plataformas habían mostrado su apoyo al puesto de protocolo afectado que sufría esta masacre. Por ejemplo, el CEO de Binance tuiteó:

Nuestro equipo está en contacto con el equipo de AxieInfinity para brindar asistencia en el seguimiento de este problema. https://t.co/pNU4wwrCAq

— CZ ? Binance (@cz_binance) 29 de marzo de 2022

Daños mayores: El precio de RONun token utilizado en la cadena de bloques de Ronin, cayó un 22 % después del ataque. EJEun token utilizado en Axie Infinity, cayó alrededor de un 10,5% simultáneamente. según Los datos de Bloombergeste truco se situó en el número dos en términos de hacks criptográficos (valoración).

En el momento de la publicación, la mayoría de los fondos pirateados aún se encuentran dentro de la cuenta del atacante. billetera.

Esta es una traducción automática de nuestra versión en inglés.