Un criptorobo de 500 millones de dólares

Revisamos un gran robo de criptomoneda utilizando spyware dentro de un PDF.

Solemos escribir sobre estafas que prometen a los usuarios grandes sumas de dinero, cuando en realidad hacen lo contrario vaciándoles los bolsillos. Esto también ocurre a nivel de empresa, ya que los cibercriminales pueden llegar a robar el dinero de empresas enteras aprovechándose de la codicia y negligencia de sus empleados.

Eso fue exactamente lo que sucedió con el sistema blockchain de Ronin Networks, creado por Sky Mavis para el juego Axie Infinity. Un empleado de Sky Mavis descargó un PDF que contenía spyware oculto, lo que desencadenó en uno de los mayores robos de criptomonedas de la historia. La empresa perdió 173.600 ETH y 25,5 millones de USDC (alrededor de unos 540 millones de dólares en el momento del incidente). A continuación, vamos a desarrollar este ataque de forma más detallada y compartiremos algunos consejos sobre cómo protegerse frente a este tipo de ataques.

Un breve resumen sobre Axie Infinity y Ronin Networks

Axie Infinity es un videojuego online en el cual los jugadores ganan criptomonedas con la ayuda de criaturas fantásticas conocidas como “axies” que se pueden “criar”, utilizar en competiciones y vender a otros jugadores. Para los jugadores, los axies son como animales de peluche, pero realmente se trata de Tokens No Fungibles (NFT, por sus siglas en inglés).

Tras su lanzamiento en 2018, Axie Infinity ganó rápidamente una gran popularidad. En su momento más álgido, los jugadores podían ganar tanto dinero que, para algunos jugadores del sudeste asiático se convirtió en un trabajo a tiempo completo. Alcanzó su mayor récord en noviembre de 2021, con un recuento diario de 2,7 millones de jugadores y sus ingresos del año pasado alcanzaron los 215 millones de dólares semanales (no obstante, para el verano de 2022, esto se redujo a solo un millón de dólares a la semana).

Los pagos en el ecosistema de Axie Infinity se realizan mediante la moneda del juego: Smooth Love Potion (SLP), basada en el blockchain de Ethereum. Para permitir a los usuarios comprar y vender SLP por criptomonedas normales de forma cómoda y sin grandes tasas, los desarrolladores crearon la plataforma Ronin. Y esta plataforma llamó la atención de los ciberdelincuentes.

Una jugosa oferta: Cómo los estafadores engañaron a los desarrolladores

Para llegar a la plataforma, los atacantes llevaron a cabo un ataque dirigido a los empleados de Sky Mavis. Recopilaron información sobre la empresa e idearon una estafa que se basara en una falsa oferta de trabajo con un salario muy atractivo.

El plan consistía en enviar (probablemente en LinkedIn) una tentadora oferta de trabajo a un ingeniero sénior, que debió haber sospechado. Tras haber pasado todas las “fases de selección” con gran éxito, el empleado, como era de esperar, recibió la jugosa oferta en forma de archivo PDF. Cuando se descargó el archivo, el spyware que contenía se liberó en la red de la empresa.

Spyware en acción: retirada de fondos

Los cibercriminales utilizaron el malware para acceder a las contraseñas privadas de los validadores de red, es decir, los nodos que verifican y confirman las transacciones de criptomonedas. En Ronin Network había nueve validadores de este tipo en el momento del ataque. Y para llevar a cabo la transferencia, esta debía ser aprobada por al menos cinco de ellos. Al final, los atacantes lograron comprometer cuatro validadores de la misma empresa y un quinto en la organización autónoma descentralizada Axie DAO, donde no tendría (ni debería) haber estado, si no fuera por un descuido por parte de Sky Mavis.

Resulta que, en noviembre de 2021, debido al alto volumen de transacciones y la carga de los validadores, la empresa permitió que Axie DAO aprobara las transferencias. Después de un mes, la carga disminuyó y ya no se necesitó la asistencia de Axie DAO, pero no se le retiraron los derechos para aprobar transacciones, hecho que favoreció a los cibercriminales. Tras haber penetrado en el sistema de Sky Mavis, los hackers también consiguieron acceso a Axie DAO, proporcionando así el quinto validador necesario para retirar los fondos de las cuentas ajenas a las propias.

La respuesta de Sky Mavis

Al descubrir el ataque, Sky Mavis actuó de forma responsable y tomó las medidas necesarias para reforzar la seguridad. La empresa contrató a expertos en seguridad externos de Verichains y Cartk, y llevó a cabo una exhaustiva auditoría en Ronin Networks.  Sky Mavis también incrementó el número de validadores a 11, con la promesa de ir aumentándolos de forma gradual hasta al menos 100. Cuanto mayor sea el número total de validadores, más serán los que deberán estar comprometidos para realizar transacciones no autorizadas, por lo que aumentar su número, en teoría, dificultará estos ataques.

Como los fondos robados pertenecían realmente a los jugadores de Axie Infinity, Sky Mavis comenzó a partir del 28 de junio a realizar pagos de compensación a las víctimas. Para esto, la compañía utilizó recursos propios y 150 millones de dólares de fondos de Binance recibidos a principios de abril.

¿Cómo mantenerse protegido?

Al planificar un ataque dirigido, los cibercriminales estudian a la víctima minuciosamente con el objetivo de encontrar puntos débiles. Estos pueden ser tanto agujeros de seguridad en sus dispositivos y software, como el factor humano. El “héroe” de nuestra publicación fue un experimentado especialista en TI, pero incluso él cayó en la trampa. Para evitar una situación similar y mantener a salvo tu información, dinero y tokens, debes permanecer alerta y no descuidar las medidas de seguridad.

  • No confíes en ofertas generosas e inesperadas como: el trabajo de tus sueños con un gran salario, un premio, una herencia de algún familiar lejano u otros milagros caídos del cielo.
  • Evita descargar archivos o seguir enlaces incluidos en correos electrónicos y mensajes de remitentes desconocidos, en especial, si estás en la red de la oficina y los archivos y enlaces no están relacionados con tu trabajo.
  • Usa una solución de seguridad de confianza que evite que el malware se ejecute en tu dispositivo
Consejos