La red Ronin es víctima de otro exploit
La red Ronin, una plataforma de blockchain diseñada para juegos de azar y basada en la máquina virtual Ethereum, ha vuelto a verse comprometida, lo que supone su segunda brecha de seguridad importante en dos años. Más de 11 millones de dólares han sido transferidos ilícitamente fuera de la red.
La entidad de seguridad Blockchain PeckShield reveló a través de 𝕏 que un bot de Valor Extraíble Máximo (MEV) extrajo fondos en Ether (ETH) y USD Coin (USDC) por valor de 11,33 millones de dólares del puente de la Red Ronin. La naturaleza de estas transacciones, si fueron realizadas por actores maliciosos o por hackers benignos con el objetivo de poner de manifiesto vulnerabilidades, sigue siendo objeto de especulación.
En la transacción inicial, el bot MEV desvió 4.000 ETH, valorados en aproximadamente 9,33 millones de dólares, del puente de Ronin. Tras esto, el bot transfirió cerca de 2 millones de dólares en USDC, convirtiéndolos en 796 Wrapped Ether (WETH) a través de un intercambio en el intercambio descentralizado Uniswap V3.
Tras la notificación de PeckShield, el cofundador y director de operaciones de Sky Mavis, Aleksander Leonard Larsen, anunció que han detenido temporalmente las operaciones de la red Ronin para investigar de cerca una maniobra MEV potencialmente explotadora, como señalaron los hackers benévolos.
Larsen aseguró que las reservas de Ronin Bridge, que superan los 850 millones de dólares en diversos criptoactivos, siguen estando seguras. Señaló que los detalles completos relativos a la brecha se compartirán una vez concluida una investigación detallada.
Esta última brecha en las defensas de Ronin ha reavivado las preocupaciones en la comunidad de criptomonedas, recordando a muchos un incidente significativo ocurrido dos años antes. En marzo de 2022, Ronin fue objeto de un atraco sin precedentes, en el que los atacantes sustrajeron unos 620 millones de dólares en ETH y USDC comprometiendo los nodos validadores de la red.
En respuesta, Sky Mavis ofreció una recompensa de 1 millón de dólares por la devolución de los fondos perdidos. Sin embargo, los culpables, identificados como el infame grupo cibercriminal Lazarus Group de Corea del Norte, ya habían blanqueado los fondos a través de intercambios centralizados, la blockchain de Bitcoin y el servicio de mezcla de criptomonedas Tornado Cash.
La red se enfrentó a importantes retos para recuperarse de las secuelas de esta violación, tardando tres meses en reabrir el puente con una actualización de software obligatoria para sus validadores a través de un hard fork.
El problema de las brechas de seguridad se extiende más allá de la propia Ronin Network; Jeff Zirlin, uno de sus cofundadores, a principios de este año fue víctima de los hackers, perdiendo 10 millones de dólares en ETH debido a vulnerabilidades en la seguridad de su monedero.