{"id":27445,"date":"2022-07-26T15:06:10","date_gmt":"2022-07-26T13:06:10","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=27445"},"modified":"2022-07-26T15:06:10","modified_gmt":"2022-07-26T13:06:10","slug":"sky-mavis-crypto-heist","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/sky-mavis-crypto-heist\/27445\/","title":{"rendered":"Un criptorobo de 500 millones de d\u00f3lares"},"content":{"rendered":"

Solemos escribir sobre estafas que prometen a los usuarios grandes sumas de dinero<\/a>, cuando en realidad hacen lo contrario vaci\u00e1ndoles los bolsillos. Esto tambi\u00e9n ocurre a nivel de empresa, ya que los cibercriminales pueden llegar a robar el dinero de empresas enteras aprovech\u00e1ndose de la codicia y negligencia de sus empleados.<\/p>\n

Eso fue exactamente lo que sucedi\u00f3 con el sistema blockchain de Ronin Networks, creado por Sky Mavis para el juego Axie Infinity<\/em>. Un empleado de Sky Mavis descarg\u00f3 un PDF que conten\u00eda spyware<\/em> oculto, lo que desencaden\u00f3 en uno de los mayores robos de criptomonedas de la historia. La empresa perdi\u00f3 173.600 ETH y 25,5 millones de USDC (alrededor de unos 540 millones de d\u00f3lares en el momento del incidente). A continuaci\u00f3n, vamos a desarrollar este ataque de forma m\u00e1s detallada y compartiremos algunos consejos sobre c\u00f3mo protegerse frente a este tipo de ataques.<\/p>\n

Un breve resumen sobre Axie Infinity<\/em> y Ronin Networks<\/h2>\n

Axie Infinity<\/a> es un videojuego online en el cual los jugadores ganan criptomonedas con la ayuda de criaturas fant\u00e1sticas conocidas como \u201caxies\u201d que se pueden \u201ccriar\u201d, utilizar en competiciones y vender a otros jugadores. Para los jugadores, los axies son como animales de peluche, pero realmente se trata de Tokens No Fungibles (NFT, por sus siglas en ingl\u00e9s).<\/p>\n

Tras su lanzamiento en 2018, Axie Infinity gan\u00f3 r\u00e1pidamente una gran popularidad. En su momento m\u00e1s \u00e1lgido, los jugadores pod\u00edan ganar tanto dinero que, para algunos jugadores del sudeste asi\u00e1tico se convirti\u00f3 en un trabajo a tiempo completo<\/a>. Alcanz\u00f3 su mayor r\u00e9cord en noviembre de 2021, con un recuento diario de 2,7 millones<\/a> de jugadores y sus ingresos del a\u00f1o pasado alcanzaron los 215 millones de d\u00f3lares<\/a> semanales (no obstante, para el verano de 2022, esto se redujo a solo un mill\u00f3n de d\u00f3lares a la semana).<\/p>\n

Los pagos en el ecosistema de Axie Infinity se realizan mediante la moneda del juego: Smooth Love Potion<\/em><\/a> (SLP), basada en el blockchain de Ethereum. Para permitir a los usuarios comprar y vender SLP por criptomonedas normales de forma c\u00f3moda y sin grandes tasas, los desarrolladores crearon la plataforma Ronin<\/a>. Y esta plataforma llam\u00f3 la atenci\u00f3n de los ciberdelincuentes.<\/p>\n

Una jugosa oferta: C\u00f3mo los estafadores enga\u00f1aron a los desarrolladores<\/h2>\n

Para llegar a la plataforma, los atacantes llevaron a cabo un ataque dirigido<\/a> a los empleados de Sky Mavis. Recopilaron informaci\u00f3n sobre la empresa e idearon una estafa que se basara en una falsa oferta de trabajo con un salario muy atractivo.<\/p>\n

El plan consist\u00eda en enviar (probablemente en LinkedIn) una tentadora oferta de trabajo a un ingeniero s\u00e9nior, que debi\u00f3 haber sospechado. Tras haber pasado todas las \u201cfases de selecci\u00f3n\u201d con gran \u00e9xito, el empleado, como era de esperar, recibi\u00f3 la jugosa oferta en forma de archivo PDF. Cuando se descarg\u00f3 el archivo, el spyware <\/em>que conten\u00eda se liber\u00f3 en la red de la empresa.<\/p>\n

Spyware <\/em>en acci\u00f3n: retirada de fondos<\/h2>\n

Los cibercriminales utilizaron el malware<\/em> para acceder a las contrase\u00f1as privadas<\/a> de los validadores<\/a> de red, es decir, los nodos que verifican y confirman las transacciones de criptomonedas. En Ronin Network hab\u00eda nueve validadores de este tipo en el momento del ataque. Y para llevar a cabo la transferencia, esta deb\u00eda ser aprobada por al menos cinco de ellos. Al final, los atacantes lograron comprometer cuatro validadores de la misma empresa y un quinto en la organizaci\u00f3n aut\u00f3noma descentralizada Axie DAO<\/a>, donde no tendr\u00eda (ni deber\u00eda) haber estado, si no fuera por un descuido por parte de Sky Mavis.<\/p>\n

Resulta que, en noviembre de 2021, debido al alto volumen de transacciones y la carga de los validadores, la empresa permiti\u00f3 que Axie DAO aprobara las transferencias. Despu\u00e9s de un mes, la carga disminuy\u00f3 y ya no se necesit\u00f3 la asistencia de Axie DAO, pero no se le retiraron los derechos para aprobar transacciones, hecho que favoreci\u00f3 a los cibercriminales. Tras haber penetrado en el sistema de Sky Mavis, los hackers <\/em>tambi\u00e9n consiguieron acceso a Axie DAO, proporcionando as\u00ed el quinto validador necesario para retirar los fondos de las cuentas ajenas a las propias.<\/p>\n

La respuesta de Sky Mavis<\/h2>\n

Al descubrir el ataque, Sky Mavis actu\u00f3 de forma responsable y tom\u00f3 las medidas necesarias para reforzar la seguridad. La empresa contrat\u00f3 a expertos en seguridad externos de Verichains y Cartk, y llev\u00f3 a cabo una exhaustiva auditor\u00eda en Ronin Networks<\/a>.\u00a0 Sky Mavis tambi\u00e9n increment\u00f3 el n\u00famero de validadores a 11, con la promesa<\/a> de ir aument\u00e1ndolos de forma gradual hasta al menos 100. Cuanto mayor sea el n\u00famero total de validadores, m\u00e1s ser\u00e1n los que deber\u00e1n estar comprometidos para realizar transacciones no autorizadas, por lo que aumentar su n\u00famero, en teor\u00eda, dificultar\u00e1 estos ataques.<\/p>\n

Como los fondos robados pertenec\u00edan realmente a los jugadores de Axie Infinity<\/em>, Sky Mavis comenz\u00f3 a partir del 28 de junio a realizar pagos de compensaci\u00f3n a las v\u00edctimas. Para esto, la compa\u00f1\u00eda utiliz\u00f3 recursos propios y 150 millones de d\u00f3lares de fondos de Binance recibidos a principios de abril.<\/p>\n

\u00bfC\u00f3mo mantenerse protegido?<\/h2>\n

Al planificar un ataque dirigido, los cibercriminales estudian a la v\u00edctima minuciosamente con el objetivo de encontrar puntos d\u00e9biles. Estos pueden ser tanto agujeros de seguridad en sus dispositivos y software<\/em>, como el factor humano. El \u201ch\u00e9roe\u201d de nuestra publicaci\u00f3n fue un experimentado especialista en TI, pero incluso \u00e9l cay\u00f3 en la trampa. Para evitar una situaci\u00f3n similar y mantener a salvo tu informaci\u00f3n, dinero y tokens, debes permanecer alerta y no descuidar las medidas de seguridad.<\/p>\n