Una de las características sobre las que más se ha hecho hincapié alrededor del mundo de las criptomonedas, los NFT y el blockchain es su descentralización. Es decir, que no se depende de un único actor central (como un banco o una autoridad financiera) sino que son diversos servidores los que gestionan todo. En los últimos días hemos conocido el robo de más de 600 millones de dólares en criptomonedas en una blockchain asociada al juego NFT Axie Infinity, el que supone la mayor sustracción ilícita de criptomonedas hasta el momento. Pero, si se supone que hablamos de una infraestructura descentralizada, en la que no existe algo así como una caja fuerte que atracar, ¿cómo se ha podido llevar a cabo?
Lo primero que tenemos que recordar es cómo funcionan los intercambios de criptomonedas. Tal y como os explicamos en este artículo sobre cómo funciona el bitcoin, en cada transacción tiene que ser validada y confirmada su autenticidad, un proceso que certifican los llamados ‘mineros’, una red compuesta por numerosos ordenadores que trabajan para verificar este proceso resolviendo cálculos matemáticos.
La cantidad de ordenadores que trabajan en cada blockchain varía mucho: todo depende del número de usuarios que la usen, por lo que no es lo mismo la capacidad de la cadena de bloques detrás del bitcoin que la que puede existir en otra moneda minoritaria. Porque sí, recordamos que existen muchas criptomonedas diferentes y muchas redes de blockchain que le dan soporte a cada una.
El hackeo se ha producido en una de las blockchain que apoya las transacciones del juego Axie Infinity
Vamos por pasos con el caso de Axie Infinity, un popular juego en el que se compran y venden NFT con criptomonedas. Hay que dejar claro que no se ha hackeado la plataforma en sí, sino a una blockchain que le proporciona la infraestructura necesaria para hacer transacciones con criptomonedas, llamada Ronin. Esta es una de las blockchain que permiten operar con estas divisas digitales y que autorizan las transacciones a través de nodos de validación. ¿Qué es un nodo y qué es lo que valida en este caso? Un nodo es algo así como un punto de paso para los datos: en ellos se juntan varios canales de información que vienen de distintos lugares.
“Los nodos son la base de blockchain, porque es en ellos donde se almacena la información”, detalla a Maldita.es Marelisa Blanco, abogada especializada en propiedad intelectual en NoLegalTech. “Piensa en ellos como mini servidores: un nodo puede ser cualquier cosa, desde ordenadores o servidores, y la cuestión es que entre todos estos nodos se hace una red y se van intercambiando entre ellos información de tal forma que estén todos actualizados y contengan una copia entera de las transacciones en blockchain”, prosigue.
Las blockchain están compuestas por muchos nodos que pueden hacer más cosas que simplemente guardar información: “Pueden ser, como en el caso de Axie Infinity, ‘validadores’ de firmas”. ¡Ah, los nodos de validación, ya encaja! A través de estos nodos, por tanto, se puede también autorizar la transferencia de criptomonedas de un monedero virtual (o wallet, en inglés) a otro. Estas cadenas de bloques tienen tantos nodos porque así se aseguran de que sea más difícil vulnerarlos de alguna manera.
“Se intenta tener los nodos de manera descentralizada para evitar posibles ataques”, continúa Blanco, teniendo en cuenta que son “vitales” para el correcto funcionamiento de las blockchain y también de la seguridad de las transacciones.
Son estos nodos, en este caso los de la blockchain de Ronin, los que se vieron afectados en el ataque. “El problema que tienen es que están formados por código fuente que les permite realizar funciones y, como todo código, pueden tener vulnerabilidades o puertas traseras'', señala Blanco. De igual manera que las tienen las aplicaciones que usamos en nuestro móvil o nuestro ordenador.
Es el caso de Axie Infinity y Ronin, que ha protagonizado titulares y noticias por la envergadura del ataque: en 2021, la brecha ocurrió porque se dio acceso a algunos de estos nodos a un desarrollador llamado Sky Mavies para que pudiese también validar alguna de las transacciones. A pesar de que estuvieron apenas un mes con este proceso, al terminar ese permiso no se revocó. Digamos que de alguna manera ese acceso a los nodos permaneció abierto. Los atacantes, entonces, vulneraron el sistema de Sky Mavies y consiguieron las claves para realizar y autorizar nuevas operaciones.
Un momento. Se supone que las blockchain y las transacciones con criptomonedas son operaciones descentralizadas, es decir, que no vale con atacar un solo objetivo sino que habría que ir a por varios a la vez y por eso sería más seguro, ¿no? ¿Cómo se ha conseguido sustraer tantísimo dinero en criptoactivos, en ese caso?
El atacante se hizo con el control de la mayoría de validadores de las transacciones
Nos lo explica Blanco: precisamente porque la blockchain es una red descentralizada, se intentan tener estos nodos de validación o ‘validadores’ repartidos como si fueran varias llaves que pueden abrir o cerrar una puerta. Autorizar o denegar una transacción. “En concreto, tenían nueve validadores que verificaban los depósitos o las retiradas, y para que estas se aceptaran, cinco nodos tenían que verificar la transacción. Estos son los que obtuvieron los atacantes”, explica la también especialista en gestión de criptoactivos.
Esto significa que el atacante que robó estos más de 600 millones de dólares fue capaz de hacerse con el control de la mayoría de validadores de las transacciones para ‘autorizarse’ a sí mismo la transacción y extraer las criptomonedas de la blockchain del juego NFT para llevárselas. Con esto llegamos al final del ataque, que consiste en redireccionar a su wallet todos los fondos contenidos en la cadena de bloques. Ronin asegura en su página web que los activos siguen ahí, es decir, que el atacante que se los transfirió a su monedero no los ha movido.
La empresa detrás de Axie Infinity ha asegurado que van a devolver el dinero a los afectados
Por último, la otra pregunta del millón: ¿es posible recuperar el dinero? Debido al enfoque anónimo con el que se concibió esta tecnología, las carteras de criptomonedas no recogen datos personales como nombre o apellidos que puedan ser rastreables, sino que son un conjunto de letras y números aleatorios. Esto, por supuesto, dificulta la trazabilidad de la persona sustrajo estos activos.
La empresa detrás de esta cadena de bloques y del juego NFT, Sky Mavis, afirmó al medio estadounidense The Verge que están “trabajando con agentes de policía, criptógrafos forenses e inversores para asegurarse de que no se pierden los ahorros de los usuarios”, pero a día de publicación de este artículo, no se ha conseguido recuperar nada de lo robado.
Marelisa Blanco añade que en este caso, primero tendrían que encontrar al dueño de la wallet y abrir un proceso judicial contra él, además de restaurar a las víctimas. Según Bloomberg, el propietario de Sky Mavies ha asegurado que devolverán los más de 600 millones de dólares a los usuarios afectados.