La cadena de bloques de juegos Ronin Network sufrió un incidente de seguridad ayer cuando los piratas informáticos explotaron una vulnerabilidad no documentada en el Puente Ronin para retirar 4.000 ETH y 2 millones de USDC, por un total de 12 millones de dólares.
Esta cifra corresponde a la cantidad máxima de ETH y USDC que se puede retirar del puente mediante una sola transacción, por lo que esta medida de seguridad crítica evitó el robo de cifras potencialmente astronómicas.
Los hackers de sombrero blanco informaron a la red Ronin de una brecha en el puente mientras realizaban su demostración de ataque. Después de la verificación, el puente se detuvo durante 40 minutos.
Aunque la próxima semana se publicará una autopsia detallada, Ronin puede decir que la causa del exploit fue una actualización reciente del puente implementada a través del proceso de gobernanza, que introdujo una vulnerabilidad de seguridad.
La falla llevó al puente a malinterpretar el umbral de votación requerido por el operador del puente para autorizar retiros de fondos, permitiendo así que actores no autorizados llevaran a cabo acciones perjudiciales.
.png)
El equipo de Ronin Network está trabajando para resolver la causa raíz y dijo que la solución será auditada minuciosamente antes de ser votada e implementada por los operadores del puente para garantizar que incidentes similares no vuelvan a ocurrir.
El puente permanecerá en pausa y será sometido a controles intensivos antes de su reapertura. Al mismo tiempo, la red Ronin anunció que abandonaría la estructura actual en favor de una nueva solución desarrollada con validadores Ronin.
Mientras tanto, los sombreros blancos han devolvió completamente los fondos robados y recibirán una generosa bonificación de 500.000 dólares por su “auditoría forzada”.
Ronin anunció previamente que incluso si los piratas informáticos no respondieran positivamente y se quedaran con las cantidades robadas, todos los fondos de los usuarios estarían garantizados y cualquier pérdida sería reembolsada en su totalidad.
No está claro si los “investigadores” explotaron el error antes o después de informar a Ronin del defecto y si exigieron una recompensa por el error para reembolsar el dinero. BleepingComputer se puso en contacto con Ronin, pero nuestros correos electrónicos quedaron sin respuesta.
Fallas anteriores del Puente Ronin
El puente de red Ronin de Axie Infinity fue pirateado anteriormente en marzo de 2022 en el mayor robo de criptomonedas de la historia moderna, lo que resultó en la pérdida de 625.000.000 de dólares en criptomonedas.
Más tarde se reveló que el hackeo fue llevado a cabo por el famoso hacker norcoreano “Lazarus Group”, que utilizó su típico esquema de ingeniería social de entrevistas de trabajo falsas para obtener acceso inicial privilegiado a los sistemas específicos.
En este caso, los piratas informáticos no devolvieron ninguna cantidad, pero las autoridades policiales recuperaron 30 millones de dólares en septiembre de 2022 y otros 5,8 millones de dólares en febrero de 2023.