Un delincuente informático vulneró la seguridad de Ronin, una red que soporta al videojuego Axie Infinity, y extrajo más de 620 millones de dólares en Ethereum y USDC.

El proyecto Ronin, una red blockchain que soporta a Axie Infinity, sufrió una intrusión masiva que derivó en este hurto, considerado como el robo más grande de criptomonedas a la fecha.

De acuerdo con una publicación en el substack de la empresa, el delincuente realizó dos transacciones: 173.600 Ethereum (u$s594,5 millones) y 25,5 millones en USDC. Para conseguirlo vulneró los nodos de validación y utilizó claves privadas pirateadas para falsificar los retiros.

La compañía descubrió la brecha este miércoles, luego de que un usuario no pudiera retirar 5.000 ETH. Los expertos en seguridad detallaron que el el delincuente (o grupo de ladrones) usó un "backdoor" para controlar los cinco validadores requeridos para un retiro de criptomonedas.

"El esquema de la clave del validador está configurado para ser descentralizado de modo que limite un vector de ataque", mencionó Ronin. Los validadores verifican y comparan la información en la cadena de bloques para garantizar que sea precisa.

Axie Infinity es uno de los videojuegos más populares.

Un videojuego basado en criptomonedas

En este caso, el ataque fue dirigido a los validadores de la empresa Sky Mavis, que distribuye Axie Infinity. El juego en línea, considerado como la colección de NFT (token no fungibles) más grande del mundo, es similar a Pokemon.

La mecánica principal consiste en coleccionar pequeñas criaturas llamadas Axies que pueden criar y ponerlas a pelear.

Axie Infinity premia a los jugadores con criptomonedas que pueden canjear por dinero cada 14 días. En Venezuela el juego es un trabajo de tiempo completo para muchas personas.

Según Diego Ortiz, cofundador de Venezuela to the Moon, algunos venezolanos llegaron a ganar hasta 370 dólares mensuales en 2021, una cifra que se reduce constantemente debido a la economía del juego.

Axie Infinity esrá disponible en celulares y PC.

Ronin espera recuperar las criptomonedas robadas

Las transacciones fraudulentas ya fueron confirmadas y la empresa tomó medidas para evitar otra intrusión. Ronin se puso en contacto con equipos de seguridad de los principales intercambios de criptomonedas. La red trabaja con criptógrafos forenses e inversores para asegurar que todos los fondos se recuperen o reembolsen.

El robo a Ronin supera al de Poly Network, cuando un atacante extrajo 610 millones de dólares de la plataforma blockchain en agosto. El delincuente, Mr White Hat, devolvió la totalidad de lo robado y declaró que sus intenciones eran que la empresa arreglara sus vulnerabilidades.

Axie Infinity: ¿cuáles son los riesgos de seguridad al jugar?

Con una propuesta innovadora, Axie Infinity es un videojuego "play to earn" basado en blockchain que fue lanzado a comienzos de 2018 y que experimentó un crecimiento importante a nivel mundial, principalmente por la explosión de los tokens no fungibles, conocidos como NFT.

Se trata de unidades de datos no intercambiables que se almacenan en el blockchain y permiten convertir ítems digitales en únicos e irrepetibles, cuya propiedad puede demostrarse, transformándolos en elementos de valor que pueden comercializarse.

Dada su popularidad y su vínculo directo con el dinero, Eset, compañía especializada en detección proactiva de amenazas, analizó los procesos que rodean al juego y sus estructuras para determinar su seguridad, y las formas de minimizar los riesgos de aquellos usuarios que decidan comenzar a jugar.

"Para poder jugar Axie Infinity es necesario obtener tres personajes llamados Axies directamente vinculados a la cuenta del usuario, lo que implica invertir más de 400 dólares", explicó en su análisis, compartido con iProfesional, Daniel Barbosa, Investigador de Eset Latinoamérica.

Los jugadores pueden subir el nivel de sus personajes y luego comercializarlos para obtener ingresos a cambio. Además, se basa en NFT que pueden comprarse y venderse y que permite a los jugadores ganar dinero.

"Como siempre sucede, toda tecnología o actividad digital que atraiga una gran masa de usuarios viene acompañada de ciberdelincuentes dispuestos a llevar adelante sus estrategias de ingeniería social para quedarse con credenciales de acceso y dinero", advirtió Barbosa.

Los personajes en el juego son unos monstruos llamados Axies y pueden pertenecer a nueve tipos de clases. Estos Axies son tokens NFT vendidos dentro del "marketplace" del propio juego y su precio varía de acuerdo con una serie de factores, como pueden ser las habilidades que tiene el monstruo, cuántas veces ya se ha reproducido, etc.

Hay una serie de criptoactivos presentes en el juego. Los principales son los personajes que se utilizan para jugar, y dos monedas que se pueden obtener en el juego: el SLP y el AXS.

• SLP | Smooth Love Potion: El SLP es la moneda más común del juego. Es posible obtenerla en batallas con otros jugadores o pasando los niveles del modo aventura. SLP es un criptoactivo y también se puede negociar fuera del juego.
• AXS | Axie Infinity Shard: AXS también es un criptoactivo que se puede obtener en el juego. Los AXS valen mucho más que los SLP y se otorgan como premios a los primeros 300 en la clasificación mundial del juego al final de cada temporada. Así, como en cualquier sistema de premios, cuanto más alto esté el usuario en el ranking mayor será la recompensa obtenida dentro del juego, pudiendo llegar a 500.000 AXS en el caso del primer puesto. Al igual que los criptoactivos anteriores, también se puede intercambiar fuera del juego.

"A pesar de ser algo que está indirectamente relacionado con la seguridad, el riesgo más evidente es que todo gira en torno a los criptoactivos y que estos pueden fluctuar tanto como las criptomonedas más conocidas, como el Bitcoin, por ejemplo", dijo Barbosa.

Como el juego requiere contar con al menos tres Axies y el más barato está por encima de los 140 dólares (0.04 Ethereum), "es importante tener en cuenta que puede haber una devaluación repentina y que la cantidad invertida para comenzar a jugar caiga fuertemente", advirtió.

A medida que un juego o servicio recibe "mucha atención y encima circulan importantes cantidades de dinero (si se piensa en todos los criptoactivos presentes aquí), es lógico pensar que los cibercriminales se sientan atraídos y busquen llevar adelante todo tipo de fraudes y estafas para obtener parte de ese dinero.", razonó el ejecutivo de Eset.

Riesgos relacionados a las cuentas

Como se trata de billeteras digitales, los riesgos asociados con las cuentas de Binance, Metamask y Ronin Wallet son muy relevantes. Si alguien tiene acceso a ellas, tendrá control sobre el dinero en estas cuentas y podrá usarlo como mejor le parezca.

La cantidad de cuentas implica una mayor superficie de ataque, lo que aumenta las posibilidades de los criminales para dirigir sus engaños. Por ejemplo, el juego tiene un vínculo muy estrecho con la billetera de Ronin, y esto puede permitir que los delincuentes también tengan acceso a los Axies que ya se han comprado en esa billetera.

Con eso en mente, los delincuentes centrarán sus esfuerzos en comprometer las cuentas de los usuarios en estas plataformas, ya sea mediante aplicaciones falsas que se hacen pasar por legítimas. Esto ocurrió con una aplicación falsa de Ronin Wallet que estuvo disponible para su descarga en la Playstore.

La aplicación simula ser la aplicación de billetera oficial utilizada por el juego y busca robar información y el dinero a las víctimas. Al revisar brevemente la descripción de la aplicación, en Eset observaron que tiene una calificación muy baja y que los propios usuarios informan en los comentarios que es una aplicación falsa.

Otro detalle es que, a pesar de su apariencia convincente, la información de contacto de la aplicación se refiere a un dominio .org, cuando el dominio real de la compañía es un .com.

Axie Infinity se distribuye solamente en PC y Mac, por lo tanto, no hay versión para móviles. En el sitio web oficial de Sky Mavis, creador de Ronin Wallet, la compañía informa que el software para dispositivos móviles se lanzará próximamente.

En los comentarios de la extensión para Google Chrome de Ronin Wallet algunos usuarios afirman haber perdido el control de sus cuentas y que robaron sus axies. Aparentemente, los usuarios habían descargado una app de Ronin Wallet que era falsa.

Phishing en Axie

El phishing es otra gran amenaza que atenta contra los jugadores de Axie y es una de las formas más utilizadas por criminales que crean sitios falsos que suplantan el sitio oficial para engañarlos y obtener información personal, como la frase semilla o seed phrase para Ronin Wallet, o suplantando la identidad de algún otro servicio como Metamask, por poner un ejemplo.

Estos engaños pueden circular a través de plataformas como Discord, por poner un ejemplo, donde los delincuentes se hacen pasar por canales legítimos, a través de anuncios de Google que dirigen a sitios falsos, o a través de redes sociales. Otros ejemplos de ataques de phishing dirigidos a usuarios de Axie Infinity:

• Becas: Como el costo para jugar Axie Infinity se inicia en más de 400 dólares y esto hace que el acceso al juego sea inviable para la mayoría de las personas, inversores con más dinero crearon becas. Un sistema de alquiler de cuentas en el que el propietario pone el dinero y la persona que alquila entra durante un tiempo disponible para jugar y obtener los SLP de forma diaria. Luego, dividen las ganancias.
• Riesgos del ambiente en línea: Los juegos en línea conviven con ciberdelincuentes que buscan sacar provecho. En el caso de las becas puede ocurrir que el administrador de la cuenta (propietario de los axies) comparta más información de la necesaria al jugador que alquila su cuenta y esto supone un riesgo.

Si el administrador da acceso a la billetera Ronin a la que están vinculados los axies, el inquilino puede robar los axies y otros criptoactivos que estén vinculados a esa cuenta sin mayores dificultades, por lo que es necesario que el administrador estudie adecuadamente cómo se puede realizar este proceso de forma segura.

Pero los riesgos no solo están para quienes ofrecen las becas. Desde Eset observaron que en algunos países los usuarios interesados en ser seleccionados para una beca comparten en redes sociales más información de la que deberían, ya que en su afán de obtener una oportunidad divulgan información personal de manera pública, lo que los hace blancos fáciles para estafadores. Algunos casos incluso menores de edad.

Cómo estar protegido

Como explican en la cuenta oficial de Axie Infinity en Reddit, tener claro que nadie está ofreciendo Axies ni SLP de manera gratuita. Si se observa algo así, seguramente se trate de un engaño.

Nadie de soporte técnico de Axie Infinity se contactará directamente para ayudar con algún problema que se haya reportado públicamente. Además, tener cuidado con cualquier herramienta que requiera ingresar las credenciales de acceso de la Ronin Wallet o que se compartas la seed phrase. En caso de entregar esta información el estafador tendrá acceso a la billetera y podrá vaciarla por completo.

Otras recomendaciones de Eset que pueden también aplicarse más allá de Axie Infinity y ser de utilidad en otros escenarios de la vida digital, son las siguientes:

Habilitar la autenticación en dos pasos

Cuando se trata de criptomonedas, es común que los Exchange, como Binance, ofrezcan de forma nativa la posibilidad de implementar el doble factor de autenticación. Esto proporciona una capa de seguridad adicional que minimiza el riesgo de que alguien acceda indebidamente a nuestras cuentas.

Entre las opciones de autenticación más habituales tenemos la posibilidad de recibir tokens de acceso por correo electrónico, SMS o apps como Google Authenticator, y lo mejor es que algunos servicios permiten utilizarlos de forma simultánea.

Utilizar un administrador de contraseñas

Idealmente, las contraseñas deben ser largas y complejas para aumentar la dificultad en caso de que atacantes intenten descifrarlas mediante alguna técnica. Para reducir el riesgo de olvidar o perder las contraseñas, un administrador es de gran ayuda, ya que con solo recordar una contraseña maestra podrá acceder a todas las claves almacenadas para los distintos servicios.

Usar contraseñas únicas en todas las cuentas

Nunca repitas una contraseña en ningún tipo de servicio, especialmente en juegos. Si la contraseña de las billeteras de Ronin y Metamask es la misma que la contraseña del juego, y alguien logra acceso a una de estas cuentas, automáticamente tendrá acceso a las demás y a los criptoactivos vinculados a las mismas.

Buscar información de fuentes oficiales

Independientemente de si se trata de un juego o servicio nuevo, siempre se debes buscar información de fuentes confiables para saber qué se debe o no descargar. En el caso de Axie, la aplicación falsa creada por los delincuentes fue la de la billetera de Ronin, pero podría haber sido la de la billetera de Metamask, o incluso una falsa aplicación del propio juego. Siempre buscar información en sitios oficiales sobre lo que debe y no debe usar/descargar.

Tener cuidado con los correos o mensajes falsos

A medida que la popularidad del juego aumenta crecen las campañas maliciosas de phishing apuntando a los jugadores para robar información y obtener ganancias económicas. Esto se da en varias plataformas sociales o correo.

Mantenerse alerta y nunca seguir las indicaciones que llegan por correo electrónico. Si la empresa o servicio necesita que se realice algún cambio en el sistema, siempre se indica al usuario que acceda a las fuentes oficiales para obtener información, ya sea a través del sitio web o vía telefónica.

Instalar una herramienta de seguridad en los dispositivos

Muchos de los malwares recopilan contraseñas de diferentes maneras, logran interceptar las comunicaciones de red de la víctima e incluso alteran el contenido que va directamente a la memoria, que a menudo se usa para intercambiar direcciones de billeteras de criptomonedas.

No tener un software de protección instalado, actualizado y configurado para detener las amenazas lo deja extremadamente vulnerable a cualquier ataque, por lo que es esencial tener una solución confiable.