{"id":25098,"date":"2022-07-27T08:40:52","date_gmt":"2022-07-27T14:40:52","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=25098"},"modified":"2022-07-27T08:40:52","modified_gmt":"2022-07-27T14:40:52","slug":"sky-mavis-crypto-heist","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/sky-mavis-crypto-heist\/25098\/","title":{"rendered":"Un crypto-robo de 500 millones de d\u00f3lares"},"content":{"rendered":"

Usualmente escribimos sobre estafas que prometen monta\u00f1as de oro a alguien<\/a>, cuando en realidad sucede lo contrario y sus bolsillos quedan vac\u00edos. De igual manera, los cibercriminales pueden obtener el dinero de empresas enteras al explotar la codicia y negligencia de sus empleados.<\/p>\n

Eso fue exactamente lo que sucedi\u00f3 con el sistema blockchain de Ronin Networks, creado por Sky Mavis para el juego Axie Infinity<\/em>. Un empleado de Sky Mavis descargo un PDF con spyware oculto dentro, lo que desencaden\u00f3 en uno de los robos de criptomonedas m\u00e1s grandes de la historia. La empresa perdi\u00f3 173 600 ETH y 25,5 millones de USDC (m\u00e1s o menos unos 540 millones de d\u00f3lares al momento del incidente). Discutimos el ataque m\u00e1s detalladamente y compartimos consejos sobre c\u00f3mo protegerse.<\/p>\n

Unas palabras sobre Axie Infinity y Ronin Networks<\/h2>\n

Axie Infinity<\/a> es un videojuego en l\u00ednea en el cual los jugadores ganan criptomonedas con la ayuda de criaturas fant\u00e1sticas conocidas como \u201caxies\u201d, a las cuales se pueden \u201ccriar\u201d, utilizar en competencias y vender a otros jugadores. Para los jugadores, los axies lucen como animales de peluche, pero esencialmente son Token No Fungibles (NFTs, por sus siglas en ingl\u00e9s).<\/p>\n

Despu\u00e9s de su lanzamiento en 2018, Axie Infinity gan\u00f3 r\u00e1pidamente una audiencia muy amplia. En su mayor pico, los jugadores pod\u00edan ganar tan bien, que para algunos jugadores del sudeste asi\u00e1tico se convirti\u00f3 en un trabajo de tiempo completo<\/a>. Alcanz\u00f3 su mayor r\u00e9cord en noviembre de 2021, con un recuento diario de 2,7 millones<\/a> de jugadores; sus ingresos del a\u00f1o pasado alcanzaron los 215 millones de d\u00f3lares<\/a> por semana (no obstante, para el verano de 2022, esto se redujo a un modesto mill\u00f3n de d\u00f3lares por semana).<\/p>\n

Los pagos en el ecosistema Axie Infinity se realizan mediante la moneda del juego: Smooth Love Potion<\/a> (SLP), basada en el blockchain de Ethereum. Para permitir a los usuarios comprar y vender SLP por criptomonedas regulares de manera conveniente y sin tarifas altas, los desarrolladores crearon la plataforma Ronin<\/a>. Justo esta plataforma fue la que llam\u00f3 la atenci\u00f3n de los ciberdelincuentes.<\/p>\n

Una jugosa oferta: C\u00f3mo los estafadores enga\u00f1aron a los desarrolladores<\/h2>\n

Para llegar a la plataforma, los atacantes llevaron a cabo un ataque dirigido<\/a> a los empleados de Sky Mavis. Recopilaron informaci\u00f3n sobre la empresa e idearon una estafa que se basara en una falsa oferta de trabajo con un salario muy atractivo.<\/p>\n

El plan consist\u00eda en enviar (probablemente en LinkedIn) una tentadora oferta de trabajo a un ingeniero senior, quien debi\u00f3 haberlo sabido mejor. Tras haber pasado todas las \u201cetapas de selecci\u00f3n\u201d con gran \u00e9xito, el empleado, como era de esperar, recibi\u00f3 la jugosa oferta en forma de archivo PDF. Cuando el archivo fue descargado, el spyware que conten\u00eda se liber\u00f3 en la red de la empresa.<\/p>\n

Spyware en acci\u00f3n: retiro de fondos<\/h2>\n

Los cibercriminales utilizaron el malware para acceder a las contrase\u00f1as privadas<\/a> de los validadores<\/a> de red, o sea, los nodos que verifican y confirman las transacciones de criptomonedas. En Ronin Network hab\u00eda nueve validadores de este tipo al momento del ataque. Y para llevas a cabo la transferencia, esta deb\u00eda ser aprobada por al menos cinco de ellos. Eventualmente, los atacantes lograron comprometer a cuatro validadores dentro de la empresa y a un quinto en la organizaci\u00f3n aut\u00f3noma descentralizada Axie DAO<\/a>, donde no tendr\u00eda (ni deber\u00eda) que haber estado, si no fuera por un descuido por parte de Sky Mavis.<\/p>\n

Y resulta que, en noviembre de 2021, debido al alto volumen de transacciones y la carga de los validadores, la empresa permiti\u00f3 que Axie DAO aprobara las transferencias. Despu\u00e9s de un mes, la carga disminuy\u00f3 y ya no fue requerida la asistencia de Axie DAO, pero no se retiraron los derechos para aprobar transacciones, hecho que favoreci\u00f3 a los cibercriminales. Tras haber penetrado en el sistema Sky Mavis, los hackers tambi\u00e9n consiguieron acceso a Axie DAO, quien proporcion\u00f3 al quinto validador necesario para retirar los fondos de las cuentas ajenas a las propias.<\/p>\n

La respuesta de Sky Mavis<\/h2>\n

Al descubrir el ataque, Sky Mavis actu\u00f3 de forma responsable y tom\u00f3 las medidas necesarias para reforzar la seguridad. La empresa contrat\u00f3 expertos en seguridad externos de Verichains y Cartk, y llev\u00f3 a cabo una exhaustiva auditor\u00eda en Ronin Networks<\/a>.\u00a0 De igual manera, Sky Mavis increment\u00f3 el n\u00famero de validadores a 11, con la promesa<\/a> de escalar de forma gradual por lo menos hasta 100. Cuanto mayor sea el n\u00famero total de validadores, ser\u00e1n m\u00e1s los que deber\u00e1n estar comprometidos para no realizar transacciones no autorizadas, por lo que aumentar su n\u00famero, en teor\u00eda, har\u00e1 que tales ataques sean m\u00e1s dif\u00edciles.<\/p>\n

Debido a que los fondos robados pertenec\u00edan en realidad a los jugadores de Axie Infinity<\/em>, Sky Mavis comenz\u00f3 a realizar pagos de compensaci\u00f3n a las v\u00edctimas a partir del 28 de junio. Para esto, la compa\u00f1\u00eda utiliz\u00f3 recursos propios y $150 millones de fondos de Binance recibidos a principios de abril.<\/p>\n

\u00bfC\u00f3mo mantener la protecci\u00f3n?<\/h2>\n

Al planificar un ataque dirigido, los cibercriminales estudian a la v\u00edctima minuciosamente, con el objetivo de encontrar puntos d\u00e9biles. Estos pueden ser desde agujeros de seguridad en sus dispositivos y software, hasta, incluso, el factor humano. El \u201ch\u00e9roe\u201dde nuestra publicaci\u00f3n fue un experimentado especialista en TI, pero incluso ellos fueron enga\u00f1ados. Para evitar un destino similar y mantener a salvo informaci\u00f3n, dinero y tokens, hay que permanecer alerta y no descuidar las medidas de seguridad.<\/p>\n