Un crypto-robo de 500 millones de dólares

Revisamos un gran robo de criptomoneda utilizando spyware dentro de un PDF.

Usualmente escribimos sobre estafas que prometen montañas de oro a alguien, cuando en realidad sucede lo contrario y sus bolsillos quedan vacíos. De igual manera, los cibercriminales pueden obtener el dinero de empresas enteras al explotar la codicia y negligencia de sus empleados.

Eso fue exactamente lo que sucedió con el sistema blockchain de Ronin Networks, creado por Sky Mavis para el juego Axie Infinity. Un empleado de Sky Mavis descargo un PDF con spyware oculto dentro, lo que desencadenó en uno de los robos de criptomonedas más grandes de la historia. La empresa perdió 173 600 ETH y 25,5 millones de USDC (más o menos unos 540 millones de dólares al momento del incidente). Discutimos el ataque más detalladamente y compartimos consejos sobre cómo protegerse.

Unas palabras sobre Axie Infinity y Ronin Networks

Axie Infinity es un videojuego en línea en el cual los jugadores ganan criptomonedas con la ayuda de criaturas fantásticas conocidas como “axies”, a las cuales se pueden “criar”, utilizar en competencias y vender a otros jugadores. Para los jugadores, los axies lucen como animales de peluche, pero esencialmente son Token No Fungibles (NFTs, por sus siglas en inglés).

Después de su lanzamiento en 2018, Axie Infinity ganó rápidamente una audiencia muy amplia. En su mayor pico, los jugadores podían ganar tan bien, que para algunos jugadores del sudeste asiático se convirtió en un trabajo de tiempo completo. Alcanzó su mayor récord en noviembre de 2021, con un recuento diario de 2,7 millones de jugadores; sus ingresos del año pasado alcanzaron los 215 millones de dólares por semana (no obstante, para el verano de 2022, esto se redujo a un modesto millón de dólares por semana).

Los pagos en el ecosistema Axie Infinity se realizan mediante la moneda del juego: Smooth Love Potion (SLP), basada en el blockchain de Ethereum. Para permitir a los usuarios comprar y vender SLP por criptomonedas regulares de manera conveniente y sin tarifas altas, los desarrolladores crearon la plataforma Ronin. Justo esta plataforma fue la que llamó la atención de los ciberdelincuentes.

Una jugosa oferta: Cómo los estafadores engañaron a los desarrolladores

Para llegar a la plataforma, los atacantes llevaron a cabo un ataque dirigido a los empleados de Sky Mavis. Recopilaron información sobre la empresa e idearon una estafa que se basara en una falsa oferta de trabajo con un salario muy atractivo.

El plan consistía en enviar (probablemente en LinkedIn) una tentadora oferta de trabajo a un ingeniero senior, quien debió haberlo sabido mejor. Tras haber pasado todas las “etapas de selección” con gran éxito, el empleado, como era de esperar, recibió la jugosa oferta en forma de archivo PDF. Cuando el archivo fue descargado, el spyware que contenía se liberó en la red de la empresa.

Spyware en acción: retiro de fondos

Los cibercriminales utilizaron el malware para acceder a las contraseñas privadas de los validadores de red, o sea, los nodos que verifican y confirman las transacciones de criptomonedas. En Ronin Network había nueve validadores de este tipo al momento del ataque. Y para llevas a cabo la transferencia, esta debía ser aprobada por al menos cinco de ellos. Eventualmente, los atacantes lograron comprometer a cuatro validadores dentro de la empresa y a un quinto en la organización autónoma descentralizada Axie DAO, donde no tendría (ni debería) que haber estado, si no fuera por un descuido por parte de Sky Mavis.

Y resulta que, en noviembre de 2021, debido al alto volumen de transacciones y la carga de los validadores, la empresa permitió que Axie DAO aprobara las transferencias. Después de un mes, la carga disminuyó y ya no fue requerida la asistencia de Axie DAO, pero no se retiraron los derechos para aprobar transacciones, hecho que favoreció a los cibercriminales. Tras haber penetrado en el sistema Sky Mavis, los hackers también consiguieron acceso a Axie DAO, quien proporcionó al quinto validador necesario para retirar los fondos de las cuentas ajenas a las propias.

La respuesta de Sky Mavis

Al descubrir el ataque, Sky Mavis actuó de forma responsable y tomó las medidas necesarias para reforzar la seguridad. La empresa contrató expertos en seguridad externos de Verichains y Cartk, y llevó a cabo una exhaustiva auditoría en Ronin Networks.  De igual manera, Sky Mavis incrementó el número de validadores a 11, con la promesa de escalar de forma gradual por lo menos hasta 100. Cuanto mayor sea el número total de validadores, serán más los que deberán estar comprometidos para no realizar transacciones no autorizadas, por lo que aumentar su número, en teoría, hará que tales ataques sean más difíciles.

Debido a que los fondos robados pertenecían en realidad a los jugadores de Axie Infinity, Sky Mavis comenzó a realizar pagos de compensación a las víctimas a partir del 28 de junio. Para esto, la compañía utilizó recursos propios y $150 millones de fondos de Binance recibidos a principios de abril.

¿Cómo mantener la protección?

Al planificar un ataque dirigido, los cibercriminales estudian a la víctima minuciosamente, con el objetivo de encontrar puntos débiles. Estos pueden ser desde agujeros de seguridad en sus dispositivos y software, hasta, incluso, el factor humano. El “héroe”de nuestra publicación fue un experimentado especialista en TI, pero incluso ellos fueron engañados. Para evitar un destino similar y mantener a salvo información, dinero y tokens, hay que permanecer alerta y no descuidar las medidas de seguridad.

  • No hay que confiar en ofertas generosas e inesperadas: Puede ser el trabajo de tus sueños con un gran salario, un premio, una herencia de algún familiar lejano u otras maravillas enviadas del cielo.
  • Evita descargar archivos o seguir enlaces en correos electrónicos y mensajes de remitentes desconocidos. Sobre todo, si estás en la red de la oficina y los archivos y enlaces no se relacionan con tu trabajo.
  • Usa una solución de seguridad confiable que evitará que el malware se ejecute en tu dispositivo

Haz compras y usa la banca online de forma segura con las soluciones de Kaspersky

Consejos