A fines de marzo pasado, Axie Infinity sufrió un robo de criptomonedas por entonces valuado en 620 millones de dólares. Esto ocurrió tras una vulneración a la blockchain Ronin, creada por Sky Mavis como pieza clave de la infraestructura de su juego play-to-earn. Y si bien la firma reembolsó los criptoactivos sustraídos y tomó las medidas de seguridad correspondientes en su red, en las últimas horas surgieron detalles hasta ahora desconocidos del suceso.
Según publica The Block, el origen del ataque a la blockchain Ronin —y, por ende, a Axie Infinity— fue un elaborado engaño perpetrado contra un ingeniero que formaba parte del equipo a cargo de desarrollar el popular juego. El citado medio se basa en dos fuentes con conocimiento directo de la situación, quienes aseguran que la trampa se gestó a través de una oferta de empleo falsa.
En su informe posterior al hackeo, Sky Mavis ya había mencionado que uno de sus empleados se había visto "comprometido". Sin embargo, la empresa nunca dio explicaciones específicas sobre qué había sucedido ni cómo se había producido. Por ello, los datos que se han revelado en las últimas horas son tan impactantes.
Una oferta laboral falsa, clave en el robo de criptomonedas a Axie Infinity
The Block explica que el equipo de Axie Infinity fue abordado a comienzos de año por una falsa compañía que, LinkedIn mediante, los animó a aplicar a puestos laborales muy competitivos. Un "ingeniero senior" mordió el anzuelo y quedó expuesto a los piratas informáticos.
Así, tras varias entrevistas, la supuesta empresa le ofreció un empleo al individuo en cuestión. De más está decir que todo era un engaño. La propuesta, que prometía una importante compensación económica, se entregó a través de un PDF infectado con spyware. Al descargarlo en su ordenador, el desarrollador les abrió la puerta inadvertidamente a los hackers para que accedieran a la infraestructura de la blockchain Ronin.
De este modo, los cibercriminales obtuvieron control sobre cuatro de los nueve nodos validadores de la red. Pero esto aún no les alcanzaba para mover los fondos en criptomonedas, ya que necesitaban una firma criptográfica más. Por ello fue que también atacaron a Axie DAO —la organización autónoma descentralizada de Axie Infinity—, logrando la validación que faltaba.
Una táctica conocida, pero que sigue siendo efectiva
Es normal que los hackers pongan en la mira a los empleados de grandes tecnológicas, en su intento por ganar acceso a sus sistemas. El año pasado, por ejemplo, los piratas informáticos que se filtraron en Electronic Arts usaron cookies robadas para entrar a los canales de Slack de la compañía y solicitar credenciales de acceso haciéndose pasar por un trabajador real.
En el caso de Axie Infinity y Sky Mavis, tiene el agravante de darse en un momento de gran ebullición de los proyectos cripto/NFT/web3, independientemente de los vaivenes del mercado. Y tampoco sorprende que el empleado vulnerado por los hackers ya no trabaje para la empresa desarrolladora del famoso juego play-to-earn.
El hackeo a Ronin y la subsecuente extracción de fondos de Axie Infinity ha sido vinculada a Lazarus, un grupo de piratas informáticos patrocinado por Corea del Norte. Del total robado, hasta ahora solo se han podido recuperar unos 6 millones de dólares que se intentaron "lavar" a través de Binance. Para devolver los criptoactivos sustraídos a los usuarios, en tanto, Sky Mavis recaudó 150 millones de dólares en una ronda de financiación.