Cómo se expuso el hackeo de USD 600 millones de Ethereum Ronin días después

Cómo se expuso el hackeo de USD 600 millones de Ethereum Ronin días después

El Ronin Bridge basado en Ethereum fue pirateado por $ 600 millones en activos digitales o 173,600 ETH y $ 25 millones en USDC. Este ataque se convirtió en el más grande en la historia de las finanzas descentralizadas (DeFi), superando el hackeo de Poly Network que también explotó una vulnerabilidad arraigada en un puente.

Lectura relacionada | BadgerDAO dispara la red polivinílica mientras le ruega al hacker que devuelva las criptomonedas robadas

El equipo detrás de Ronin ha publicado un análisis preliminar del ataque y las medidas de seguridad que tomó para evitar más víctimas. Según el mensaje, se detuvo la actividad comercial en el intercambio descentralizado (DEX) Katana y Ronin.

Además, Ronin afirmó que actualmente están trabajando con funcionarios encargados de hacer cumplir la ley y otros expertos para "recuperar o reembolsar" todos los fondos. Los fondos en AXS, RON y SLP en el puente permanecen seguros, como aclaró la publicación.

Los malos actores han explotado una vulnerabilidad en una serie de validadores Ronin y un validador Axie DAO que les permite robar los fondos. Estos se drenaron de la solución puente en dos transacciones. El informe agrega:

El atacante usó claves privadas pirateadas para falsificar retiros. Descubrimos el ataque esta mañana después de un informe de un usuario que no pudo retirar 5k ETH del puente.

A medida que avanzaba el lanzamiento, los malos actores lograron tomar posesión de una clave privada a través de validadores controlados por Sky Mavis y Axie DAO. Este último se vio comprometido al "abusar" del nodo RPC sin gas de la solución de cadena cruzada Ethereum.

Los validadores de Sky Mavis fueron claros para firmar transacciones Axie DAO de cooperación anterior. Esto proporcionó a los malos actores un punto de ataque adicional. La publicación agregó:

Una vez que el atacante obtuvo acceso a los sistemas Sky Mavis, pudo obtener la firma del validador Axie DAO utilizando RPC sin gas. Hemos confirmado que la firma de los retiros maliciosos coincide con los cinco validadores sospechosos.

Ethereum Bridge Hacker utilizó KYC Exchange

Ronin ha aumentado su umbral de validación para transacciones de cinco a ocho. Esto debería evitar el riesgo a corto plazo de nuevos ataques.

La solución migrará sus nodos y mantendrá su puente en pausa en múltiples plataformas. El puente se reabrirá cuando "estemos seguros de que no se pueden drenar fondos".

El equipo detrás de Ronin trabajará con la firma de análisis en cadena Chainalysis para rastrear y monitorear los fondos robados. Lo más importante es que hablan con intercambios centralizados (CEX) para bloquear direcciones vinculadas a malos actores.

Sin embargo, dado que se tardó casi una semana en descubrir el hackeo, los malhechores podrían haber transferido algunos de los fondos al intercambio de criptomonedas FTX Y Crypto.com. Sam Bankman-Fried, director ejecutivo de FTX, confirmó que actualmente están investigando y tomarán medidas "si corresponde".

El desarrollador optimista de Ethereum, una solución de escalabilidad, Kelvin Fichter comentó sobre el hackeo después de revisar el informe. Fichter cree que Sky Mavis ejecutando múltiples nodos de Ronin fue un error y señaló la diferencia entre este y otros trucos:

Esto es muy diferente de los hacks de puentes anteriores donde la causa raíz fue un error de contrato inteligente. Este es un truco mucho más "clásico" de claves privadas en una configuración de seguridad de múltiples claves (...). Creo que el error más fundamental aquí fue confiar en puentes basados ​​en validadores. El puente Ronin tiene la suposición fundamental de que la mayoría de las claves no pueden verse comprometidas. Claramente, esta suposición se ha hecho añicos.

Ronin también tenía un sistema de "vigilancia y alerta mínima" que les dio a los malos actores una ventaja. Esto le da al Equipo Ronin un "mal aspecto", pero podría usarse como una advertencia de seguridad para soluciones similares.

Entonces, algunas conclusiones básicas por ahora:
1. Los puentes de validación pueden funcionar SI tiene las prácticas de ingeniería para mantener sus supuestos de seguridad. No es insignificante.
2. Los puentes de confianza minimizada son más difíciles de construir aguas arriba, pero pueden ser más fáciles de asegurar aguas abajo.

— contratos inteligentes 🔴✨ (@kelvinfichter) 29 de marzo de 2022

Lectura relacionada | Por qué Poly Network le pidió a Hacker que se convirtiera en su principal asesor de seguridad

En el momento de la publicación, Ethereum (ETH) cotiza a $3400 con una ganancia del 17% la semana pasada.

Ethereum ETH ETH USDETH con impulso alcista en el gráfico diario. Fuente: ETHUSD Tradingview