Attacco a blockchain

Axie Infinity, rubati oltre 600 milioni di dollari in criptovaluta-NFT dal videogioco

Il popolare videogioco Axie Infinity è stato preso di mira in un attacco informatico che ha visto il furto di criptovaluta Ethereum, dagli NFT dei giocatori mediante lo sfruttamento di una vulnerabilità sulle chiavi private di firma

30 Mar 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Ronin, così si chiama la blockchain dietro al popolare gioco basato su NFT Axie Infinity, ha dichiarato di aver rilevato una compromissione sul proprio network, che ha reso possibile il furto di 625 milioni di dollari. Le indagini confermano che l’attacco sia avvenuto una settimana fa, il 23 marzo. L’avviso arriva direttamente con la newsletter di Ronin.

Cosa è successo nel videogioco Axie Infinity

Axie Infinity è un popolare videogioco basato su NFT, nel quale ogni Axie (appunto) è un token non fungibile unico rappresentante un originale animaletto. Nel gioco questi possono, oltre ad acquisire maggior valore con la crescita, esser venduti/acquistati o noleggiati ad altri giocatori.

WHITEPAPER
Le fasi del mining: stabilire un obiettivo e la criptovaluta. Scopri di più
Blockchain
Criptovalute

A questo scopo, i giocatori caricano – a mo’ di contocorrente o portafoglio elettronico – le proprie criptovalute sulla blockchain di Axie per comprarne gli NFT. 

Qui il problema. Nella giornata di ieri il produttore del videogioco Sky Mavis, ha ricondotto allo scorso 23 marzo, un importante incidente informatico che ha preso di mira proprio la blockchain alla base di Axie Infinity. La comunicazione arriva subito dopo che un giocatore ha tentato, senza riuscire, a prelevare 5000 dollari in Ethereum dalla blockchain Ronin.

Axie Infinity Official Trailer

Ciò è stato possibile, spiega Sky Mavis, grazie all’utilizzo di chiavi private hackerate sfruttando una grave vulnerabilità nel servizio.

In totale, l’attacco avrebbe portato alla perdita di 173.600 unità di Ethereum, pari a circa 600 milioni di dollari al cambio attuale, oltre a 25 milioni di dollari in USDC, una stablecoin legata al dollaro USA. Inoltre durante l’attacco, i nodi di convalida Ronin e Axie DAO di Sky Mavis sono stati compromessi.

Furto criptovalute-nft da Axel Infinity, come può essere successo?

Ronin precisa che la blockchain è composta da nove nodi di validazione; per riconoscere una transazione sono necessarie almeno 5 delle 9 firme disponibili, quindi si ritiene che gli attori delle minacce siano riusciti a ottenere quattro firme da Sky Mavis e almeno una da Axie DAO. Gli attaccanti avrebbero trovato una backdoor per accedere alla firma necessaria per convalidare transazioni fraudolente.

Dalle dichiarazioni di Ronin si legge che al momento stanno “lavorando con le forze dell’ordine, i crittografi forensi e i nostri investitori per assicurare che tutti i fondi vengano recuperati o rimborsati. Tutti i token AXS, RON e SLP su Ronin sono al sicuro in questo momento”.

Pierluigi Paganini, esperto di cybersecurity ed intelligence e CEO Cybhorus, sulla vicenda commenta a Cyber Security 360 che “l’attacco conferma quanto profittevoli siano le offensive contro i sistemi di finanza decentralizzata ed il crescente interesse del crimine informatico negli attacchi a questi sistemi. Sebbene questi attacchi siano più complessi rispetto ad altre attività criminali, la maggiore complessità necessaria è ripagata dai profitti che gli eventi dimostrano raggiungere a diverse centinaia di milioni di euro”.

I giocatori perderanno i soldi?

Almeno in questo caso il furto sarà solo ai danni di Axie, che ha infatti promesso il rimborso agli utenti. Ma per furti di criptovalute o NFT non ci sono norme che garantiscano il rimborso agli utenti.

Axie dovrà ri-finanziarsi anche tramite la vendita di NFT in grande quantità, scontati. Può anche sperare di recuperare le criptovalute rubate, grazie alla collaborazione degli exchange.

“Dalla nostra esperienza, le possibilità di recupero sono basse”, ha detto Rishav Rai, investigatore principale per Merkle Science, una società di analisi dei dati blockchain. “Quando guardiamo i più grandi hack e rapine di criptovalute là fuori, è molto raro che i fondi vengano restituiti”.

Quali sono gli impatti dell’incidente a Axie Infinity

Sulle ipotesi di attribuzione Paganini continua specificando che “è lecito attendersi quindi che anche attori Nation-state prenderanno di mira questi sistemi con l’intento di rastrellare fondi per altre attività, soprattutto se soggetti a sanzioni internazionale, ad esempio per il finanziamento di campagne militari”.
Sempre Paganini ci ricorda come “ancora una volta non possiamo che prendere atto dell’importanza della postura di sicurezza soprattutto per tecnologie ed applicazioni emergenti.
Gli attacchi contro tecnologie che fungono da “ponte” tra diverse blockchain e che consentono l’interoperabilità di piattaforme e schemi di criptovalute non potranno che aumentare nei prossimi mesi, per questo motivo è necessario realizzare algoritmi e protocolli resilienti a questa nuova tipologia di attacchi che spesso prende di mira falle insite nelle implementazioni di protocolli. Questo è un esempio classico di necessità di applicazione di concetti come security by design e zero-trust dalle fasi di progettazione”.

Inoltre va ricordato che tra le misure in risposta all’attacco è stato assicurato l’immediato congelamento e interruzione di diversi servizi di terze parti utilizzati nel videogioco, come Binance, almeno finché il rischio di questo incidente non sia definitivamente mitigato.

Secondo quanto riferito da Sky Mavis, circa il 35 percento del traffico di Axie Infinity, che conta un totale di 2,5 milioni di utenti attivi giornalieri, proviene dalle Filippine, dove l’elevata conoscenza dell’inglese, la forte cultura del gioco e l’uso diffuso degli smartphone hanno alimentato la sua popolarità.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4