¿Cómo una falsa oferta de trabajo acabó con Axie Infinity?

En su momento dorado, Axie Infinity, era gigantesco. El popular videojuego contaba con 2,7 millones de usuarios activos diarios. Semanalmente se registraba un volumen de operaciones de los NFT del titulo por un valor de 214 millones de dólares, no obstante, estas métricas han caído en picada.

¿Cuál fue el detonante de la caída del popular videojuego?

En un informe de The Block, se detalla la increíble historia que llevó al deterioro del popular videojuego. Por muy irreal que suene, fue una entrevista de trabajo falsa fue lo que acabó con el título.

A principios de este año, los desarrolladores de Axie Infinity fueron contactados por un grupo de personas, que se comunicaban con la intención de ofrecer una oferta de trabajo en representación de una empresa “fachada”, a través de una cuenta certificada en Likedin.

Entonces, un ingeniero experimentado de Axie Inifnity fue convencido para aceptar una de las supuestas ofertas de trabajo.

Según dos fuentes, que de The Block mantuvo en el anonimato por la gravedad del asunto, aseguraron que al ingeniero fue enviada una presentación en PDF que especificaba todas las cláusulas de la oferta, con un tentativo paquete económico, que llevaron al desarrollador a tomar en consideración la oferta.

Al descargar este archivo PDF, el ingeniero le dio acceso a un software espía, que se infiltró en todos los sistemas de Ronin, la billetera propia del juego.

Desde este punto, los piratas informáticos tuvieron acceso casi toda la red. Fueron capaces de hacerse con el control de 4 de los 9 validadores que posee. Para ello solo necesitaron un validador para tener control total sobre los sistemas de Ronin.

Los validadores tienen varias facultades dentro de una cadena de bloques: la creación de bloques de transacciones y la actualización de oráculos de datos.

Ronin utiliza un sistema denominado “prueba de autoridad” para firmar las transacciones, concentrando el poder en manos de nueve actores de confianza.

Con este episodio fatídico, la red Ronin perdió 540 millones de dólares en criptomonedas. Meses mas tarde, el gobierno de los Estados Unidos vinculó en el ataque al reconocido grupo de piratas informáticos norcoreano Lazarus.

En una entrada del blog publicada el 27 de abril, Sky Mavis dijo: “Los empleados están sometidos a constantes ataques avanzados de spear-phishing en varios canales sociales y un empleado fue comprometido. Este empleado ya no trabaja en Sky Mavis. El atacante consiguió aprovechar ese acceso para penetrar en la infraestructura informática de Sky Mavis y obtener acceso a los nodos validadores.”

Luego de realizar una autopsia de lo sucedido y analizar lo sucedido, el equipo de Sky Mavis, empresa desarrolladora del videojuego, aseguró que los piratas informáticos utilizaron la DAO (Organización Autónoma Descentralizada) de Axie, un grupo creado para apoyar el ecosistema del juego, para completar el atraco. Sky Mavis había pedido ayuda a la DAO para hacer frente a una gran carga de transacciones en noviembre de 2021.

“La DAO de Axie permitió a Sky Mavis firmar varias transacciones en su nombre. Esto se interrumpió en diciembre de 2021, pero el acceso a la lista de permisos no se revocó”, dijo Sky Mavis en la publicación del blog.

“Una vez que el atacante consiguió el acceso a los sistemas de Sky Mavis, pudieron obtener la firma del validador Axie DAO”.

Como una medida de prevención a un nuevo ataque, un mes después del hackeo, Sky Mavis había aumentado el número de sus nodos validadores a 11, y dijo en la entrada del blog que su objetivo a largo plazo era tener más de 100. 

Con la colaboración de Binance, a principios de abril, Sky Mavis logró recaudar 150 millones de dólares. Los ingresos se utilizarán, junto con los fondos propios de la empresa, para reembolsar a los usuarios afectados por el exploit. La empresa aseguró que empezaría a devolver los fondos a los usuarios el 28 de junio.