Criptovalute, maxi furto da 600 milioni ai danni di Axie Infinity

La vittima del furto è Axie Infinity, un videogioco basato sugli NFT - Non Fungible Token -, oggetti digitali unici la cui proprietà è certificata tramite blockchain. In un tweet di Ronin Network pubblicato ieri, i gestori hanno comunicato che il bridge di Ronin e Katana Dex sono stati congelati dopo che un hacker ha rubato 173.600 Ethereum e 25,5 milioni di USD Coin, per un controvalore di oltre 600 milioni di dollari. Ad oggi, questo rappresenta il secondo maggiore furto nel mondo cripto, dopo quello causato alla blockchain Poly Network lo scorso agosto 2021. L'hacking di Ronin è avvenuto poco dopo l'assalto al bridge Wormhole, che ha generato perdite per oltre 300 milioni di dollari, rimborsati da uno degli sponsor, Jump Crypto.

Ancor più grave, l'attacco è avvenuto il 23 marzo ma è stato scoperto solo ieri, dopo la segnalazione di un utente che non è riuscito a prelevare 5.000 ETH dal bridge. Il prezzo di RON, un token utilizzato sulla blockchain di Ronin, ha perso il 22% del suo valore, dopo la divulgazione dell'hacking. AXS, un token utilizzato in Axie Infinity, è sceso fino all'11%, secondo CoinMarketCap.

"Il furto è avvenuto a seguito dell'hacking dei nodi validatori del ponte Ronin", ha affermato Tom Robinson, fondatore della blockchain Elliptic. L'hacker, secondo i gestori di Ronin, avrebbe utilizzato delle chiavi crittografiche private per falsificare i trasferimenti da e verso la blockchain, drenando i fondi dal bridge in sole due tranche.

La chain Ronin, di Sky Mavis, è attualmente gestita da nove nodi validatori ed è regolata da un sistema c.d. proof-of-stake. Con questo sistema è possibile effettuare transazioni in maniera più rapida ed efficiente con un numero limitato di nodi validatori, aumentando i rischi sul fronte della sicurezza. Sono infatti necessarie cinque firme per effettuare un'operazione. L'assalitore sarebbe entrato in possesso di cinque chiavi private: quattro validatori appartenenti a Sky Mavis e uno di terze parti, gestito dalla DAO (Decentralized Autonomous Organization, cioè organizzazione autonoma decentralizzata) di Axie.

In particolare, l'hacker ha sfruttato una modalità istituita a novembre 2021 da parte di Ronin per "distribuire transazioni gratuite" e favorire l'ingresso di nuovi giocatori in Axie Infinity, a causa di un'elevata domanda. Sebbene un mese dopo tale modalità sia cessata, l'accesso alla whitelist non era ancora stato revocato.

Gli hacking ai bridge possono compromettere l'intero sistema di app decentralizzate, chiamate dapps (Decentralized Applications). Un bridge in genere prende l'ETH di un utente e lo inserisce in uno smart contract e conferisce all'utente una quantità equivalente di "Ether incapsulato", che può essere impiegato su una blockchain non Ethereum, come Ronin, per investire in dapps. Se l'ETH sottostante viene sottratto illecitamente, l'Ether incapsulato non ha più valore e le dapps, con i loro utenti, finiscono per incorrere in perdite enormi.

A seguito di questo avvenimento, Ronin ha affermato in suo post su Twitter che aumenterà il numero di validatori necessari per effettuare transazioni sul bridge da cinque a otto su nove e "amplierà il set di validatori nel tempo, su una sequenza temporale accelerata". Ronin ha anche detto di essere in contatto con un exchange di criptovalute e con la blockchain Chainalysis per monitorare il movimento dei fondi rubati. Ronin sta lavorando con le forze dell'ordine per smascherare il ladro e rimpossessarsi dei fondi sottratti e che "tutti i token AXS, RON e SLP su Ronin sono al sicuro in questo momento”.