- El puente Ronin de Axie Infinity fue atacado hace diez días, con 600 millones de dólares en ETH y USDC drenados después de que los atacantes accedieran a los nodos validadores de Sky Mavis.
- Desde entonces, ha quedado claro, como siempre, que las personas que más ganan con los ecosistemas de criptomonedas son también las que menos pierden cuando las cosas se tuercen.
Axie Infinity se ha convertido en la cara del ecosistema de juego de blockchain, con su plataforma de juego que atrae a 2,5 millones de usuarios activos diarios. Sin embargo, a principios de esta semana, reveló que fue la última víctima de un ataque en el que se drenaron 600 millones de dólares en Ether y USDC de su puente Ronin. Según se ha sabido desde entonces, las personas que se encuentran en la base de la pirámide, sobre cuyos hombros Axie y otras plataformas se convierten en empresas multimillonarias, siguen siendo las que reciben el mayor golpe.
Como informó CNF, Sky Mavis, la empresa que está detrás de Axie Infinity, anunció el 30 de marzo que había descubierto un ataque que tuvo lugar una semana antes, el 23 de marzo. Los atacantes robaron 173.600 ETH y 25,5 millones de USDC. En primer lugar, el hecho de que Sky Mavis sólo se diera cuenta de un ataque una semana después, cuando un usuario intentó retirar 5.000 ETH y no lo consiguió, es preocupante en sí mismo, como opinó el director general de Securitize Capital, Wilfred Daye.
Leer más: Hackeada la red Ronin de Axie Infinity, más de 600M$ desviados de la plataforma
El trilema de la cadena de bloques y cómo Ronin fue vulnerado
Así que, en primer lugar, ¿qué es el puente Ronin? Se remonta a Ethereum y a sus problemas de escalado. Axie Infinity funciona con Ethereum, pero debido a los elevados costes de las transacciones, Sky Mavis tuvo que encontrar una forma de seguir funcionando que no fuera prohibitiva para los usuarios, muchos de los cuales proceden de países en vías de desarrollo y dependen del juego para ganar dinero para alimentar a sus familias y pagar el alquiler.
Sky Mavis optó por una sidechain (una cadena de bloques privada que se ejecuta sobre Ethereum y que elimina la necesidad de pagar las altísimas tarifas de Ethereum), asociándose inicialmente con Loom Networks en 2020. Sin embargo, la empresa decidió posteriormente eliminar al intermediario y desarrolló su propia sidechain, conocida como Ronin.
Due to recent events, we will be shutting down our Loom Validator today and migrating Land and Items to a new scaling solution over the coming months.https://t.co/lgoCcRnqQb
— Axie Infinity (@AxieInfinity) March 15, 2020
Como dicta el trilema de la cadena de bloques, al resolver la escalabilidad, los desarrolladores a menudo tienen que sacrificar una de las dos cosas, la descentralización o la seguridad, y en el caso de Sky Mavis, fueron ambas. Al fin y al cabo, cuanto más centralizado esté un sistema, más inseguro será.
Relacionado: ¿Acaba IOTA de resolver el trilema de la blockchain?
Así que, volviendo a Ronin. Al ser una blockchain privada, Ronin opera con el mecanismo de consenso de prueba de autoridad, que está mucho más centralizado que la prueba de trabajo o incluso la prueba de participación. En PoW, las transacciones son validadas por miles de nodos, pero en PoA, sólo se necesita un pequeño conjunto de nodos validadores, y éstos son elegidos por el operador, en este caso, Sky Mavis. Esto hace que este sistema sea peligrosamente centralizado y fácil de infiltrar.
En el caso de Ronin, sólo había nueve nodos validadores, lo que, en retrospectiva, parece ridículo para un canal que procesaba decenas de millones de dólares en activos del juego para más de dos millones de usuarios diariamente.
Esto resultó ser el talón de Aquiles de Ronin. Como reveló Sky Mavis en una autopsia, los atacantes accedieron a los sistemas de la empresa y se hicieron con el control de sus cuatro nodos validadores. A continuación, consiguieron hacerse con el control de un quinto nodo validador gestionado por Axie DAO, una organización creada para apoyar a los desarrolladores en el ecosistema.
Con la mayoría de los nodos validadores, los atacantes podían hacer lo que quisieran, y optaron por vaciar el puente de Ronin de ETH y USDC.
Deposits & Withdrawals on Ronin Network Partially Resumedhttps://t.co/LRZ4GPz9mQ
— Binance (@binance) April 2, 2022
Las secuelas de Axie Infinity y por qué es el pequeño el que siente el efecto
Desde entonces, Sky Mavis se ha comprometido a compensar a los jugadores cuyos fondos se perdieron en el ataque, aunque se desconocen los detalles de cómo lo hará. Sin embargo, en el pasado hemos visto a inversores con mucho dinero compensar a los usuarios minoristas por los exploits, más recientemente Jump Trading, una firma de Chicago que respalda el puente Wormhole que conecta Solana y Ethereum y que sufrió un exploit por 320 millones de dólares. Jump Trading se ofreció a reembolsar a los inversores cuyos fondos fueron sustraídos.
Con Sky Mavis, sin embargo, todavía no está claro si los poderosos patrocinadores serán los que compensen a los inversores. La empresa cuenta con Andreessen Horowitz, Accel y Paradigm como inversores de su última ronda de financiación en octubre del año pasado, en la que recaudó 152 millones de dólares a una valoración de 3.000 millones.
Mark Cuban, el multimillonario que solía ser anti-Bitcoin pero que ahora es un fanático declarado, y el cofundador de Reddit Alexis Ohanian (que recaudó 200 millones de dólares para invertir en Web3 en diciembre) también son inversores en Sky Mavis, al igual que Animoca Brands, la empresa detrás de The Sandbox.
Pero, pase lo que pase con Ronin, estos multimillonarios y fondos de capital riesgo son los que menos calor sienten, a pesar de ser los que más ganan.
Catherine Flick, profesora asociada de informática y responsabilidad social en la Universidad De Montfort, en el Reino Unido, opinó:
En términos de quiénes son los más perjudicados por esto, no son los capitalistas de riesgo. Incluso un retraso de unos días en el llenado del puente, va a afectar a alguien que alimente a su familia o pague las facturas, y de una manera mucho, mucho más grande que tener un poco de parpadeo en la cartera de inversiones de alguien.