Lazarus Hackers de Corea del Norte_ La mente maestra detrás del infame Ronin Hack

A finales de marzo, la red Ronin de la plataforma de juegos P2E Axie Infinity fue víctima de un ataque que le hizo perder más de $600 millones de dólares. El hackeo de Ronin ha sido descrito como el mayor exploit de la historia de DeFi. El Departamento del Tesoro de EE.UU. ha alegado que los hackers Lazarus de Corea del Norte estaban detrás de la brecha.

No es la primera vez que se vincula a estos individuos con un caso importante de robo cibernético. A lo largo de la última década, EE.UU. ha atribuido a los hackers de Lazarus la culpa de varios robos similares. Esto, por supuesto, plantea la pregunta;

¿Qué es el Grupo Lazarus?

Los hackers de Lazarus son actores estatales pertenecientes a la República Popular Democrática de Corea. Son un grupo de ciberdelincuentes que ha realizado una serie de ataques bajo la dirección del gobierno norcoreano. El grupo lleva activo desde 2009 y saltó a la fama en 2014 tras comprometer a la empresa de entretenimiento Sony Pictures. Se hizo aún más famoso dos años después, en 2016, cuando atacó el Banco Central de Bangladesh y se llevó unos $81 millones de dólares.

En 2021, la empresa de investigación de blockchain Chainalysis atribuyó hasta $1.750 millones de criptomonedas saqueadas hasta el momento a las acciones del sindicato de ciberdelincuentes, una cifra que sin duda ha aumentado significativamente desde entonces. En 2020, el grupo Lazarus vulneró el criptointercambio KuCoin y se hizo con una moneda virtual valorada en $275 millones de dólares, la mitad de todo el cripto robado ese año.

Curiosamente, los hackers de Lazarus no suelen estar movidos por el dinero, una característica que los diferencia de otros grupos similares. Estos actores estatales han robado información sensible y han realizado sabotajes y otras acciones diversas para beneficiar política o económicamente a la DPRK.

Desde 2006, varias naciones se han unido para imponer sanciones a Corea del Norte con el fin de frenar sus hostiles ambiciones nucleares y cortar la financiación de sus programas de armas de destrucción masiva (ADM). Estas prohibiciones han impedido la exportación de diversos artículos y han impedido a la DPRK importar petróleo crudo y productos petrolíferos refinados.

Sin embargo, en un informe de la ONU a principios de este año, los miembros alegaron que Corea del Norte se estaba financiando a través de múltiples ciberataques y podría haber amasado hasta $400 millones de dólares en criptoactivos a través de estos hackeos. Al parecer, la ONU investigó al menos 35 exploits de actores cibernéticos de la DPRK en 17 países.

El exploit Ronin es el mayor atraco del Grupo Lazarus hasta la fecha. El ataque al Banco Central de Bangladesh habría ostentado este título, ya que los piratas informáticos planeaban originalmente hacerse con $1.000 millones de dólares. Por casualidad, no lo consiguieron, pero veamos el ataque que ocupa esta posición;

Detalles del exploit de Ronin

Sky Mavis, como se conoce al equipo de desarrollo de la plataforma, confirmó a través de un tuit que la blockchain Ronin de Axie Infinity había sufrido un fallo de seguridad el 23 de marzo. El puente Ronin permite la interoperabilidad entre cadenas en la plataforma.

Los jugadores pueden depositar monedas como ETH o stablecoin USDC a cambio de artículos NFT en la moneda del juego. Además, facilita la venta de activos del juego permitiendo a los usuarios retirar fondos. Poco después del ataque, los desarrolladores detuvieron todas las transacciones en la red. Los hackers se habían hecho con 173.600 Ethereum (unos $600 millones de dólares) y $25,5 millones de USDC, lo que supone un total de $625 millones de dólares.

Según un comunicado oficial del equipo, los atacantes utilizaron claves privadas comprometidas que les dieron acceso a los nodos validadores de la red. La blockchain de Ronin consta de nueve nodos validadores; para completar una transacción (depósito o retirada), 5 de ellos deben dar su aprobación. Los hackers se hicieron con el control de 4 de los validadores de la red y de una firma validadora de terceros gestionada por la DAO Axie.

Los actores maliciosos falsificaron retiros con las claves privadas comprometidas y lograron el mayor hackeo que el espacio criptográfico ha visto hasta ahora.

Cómo se comprometió la red Ronin

Cabe destacar que los desarrolladores de Axie Infinity no descubrieron el ataque hasta el 29 de marzo, 6 días después de que se produjera. Uno de los usuarios de la plataforma había intentado retirar 5k Ethereum de la red; sin embargo, no pudo hacerlo y por ello presentó un informe al equipo.

Según el comunicado de Sky Mavis, el punto de partida del ataque fue a partir de noviembre de 2021. El equipo necesitaba la ayuda del DAO de Axie para distribuir transacciones gratuitas tras una afluencia masiva de usuarios. La DAO permitió (permitió) que Sky Mavis firmara una serie de transacciones en su lugar.

Esto ya no era necesario a finales de año; sin embargo, el equipo nunca cortó el acceso a la allowlist. Con el RPC sin gas de la plataforma, el atacante encontró una puerta trasera al sistema y la firma del validador DAO. Tras esto, procedieron a vaciar la plataforma de más de 600 millones de dólares.

¿Cómo respondió Sky Mavis?

El ataque llegó a conocimiento del equipo de desarrollo seis días después de producirse. Sin embargo, Sky Mavis tomó medidas rápidas para mitigar el daño una vez que se dieron cuenta. Veamos algunas de esas medidas;

Para protegerse de futuros ataques, una de las primeras medidas que tomó el equipo de Axie Infinity fue aumentar el umbral de validación. Varias personas que intervinieron en el asunto cuestionaron por qué el equipo lo había fijado en 5 en primer lugar. Tras aumentar el número a 9, Sky Mavis aclaró que la decisión inicial se debía a que algunos nodos no habían alcanzado la cadena o estaban atascados en el proceso de sincronización.

Han compartido los planes de ampliar el conjunto de validadores con el paso del tiempo. Además de esto, Sky Mavis comenzó a migrar los nodos a un marco completamente nuevo. El equipo también cerró temporalmente el puente de Ronin; en su informe, Sky Mavis señaló que lo reabrirían una vez que estuvieran seguros de que los atacantes ya no podían robar fondos.

Además, para estar seguros, la plataforma de intercambio de criptomonedas Binance cortó su conexión con la red Ronin. Sky Mavis se puso en contacto con los equipos de seguridad de las principales bolsas y recurrió a Chainalysis para localizar el cripto robado.

El equipo declaró que estaba trabajando con las fuerzas del orden y aseguró a los usuarios afectados que se les reembolsaría tanto si se recuperaban los fondos como si no.

Cómo el FBI vinculó a los hackers de Lazarus con el exploit Ronin

Hace dos semanas, en colaboración con el FBI, el Departamento del Tesoro de EE.UU. sancionó tres direcciones de monedero vinculadas al grupo Lazarus, respaldado por el Estado, y a APT38. Tras esto, la empresa de datos de blockchain Chainalysis señaló que una de las direcciones sancionadas tenía vínculos con el monedero original utilizado en el ataque.

Estos monederos habían recibido partes significativas de los fondos robados, que los equipos de seguridad habían rastreado tras el exploit. Las investigaciones siguen en marcha; según Elliptic, los hackers han blanqueado alrededor del 18% de los fondos robados, mientras que $9,7 millones de dólares de los fondos permanecen en carteras intermediarias antes de su blanqueo.

Conclusión

Tras el hackeo, salió a la luz pública que la plataforma de juegos P2E Axie Infinity ha estado experimentando una salida masiva de usuarios. Algunos han atribuido la pérdida al reciente exploit; sin embargo, los datos muestran que incluso antes de eso, los usuarios activos diarios (DAU) de la plataforma habían caído en picado, pasando de 8 millones a un mísero 1 en comparación.

Aunque el hackeo no sea el factor principal, es innegable que ha desempeñado un papel desde entonces. Es probable que Axie Infinity vea cómo se retiran más usuarios a medida que disminuye la confianza en la plataforma. Sin embargo, Sky Mavis ha asegurado el reembolso a los usuarios, y una ronda de financiación en la que han participado los inversores Binance, Animoca Brands, Paradigm y otros ha recaudado $150 millones de dólares.

El director general de Binance, Changpeng "CZ", también compartió en un tuit que la bolsa había recuperado fondos por valor de $5,8 millones de dólares que la dirección de la cartera del hacker había enviado. En coordinación con el Departamento del Tesoro y varias instituciones gubernamentales, el FBI ha expresado sus intenciones de seguir combatiendo los métodos ilícitos de la DPRK, el cibercrimen, etc.

Autor: Gate.io Observer M. Olatunji. Traductor: Jose E.

Descargo de responsabilidad:

*Este artículo representa únicamente las opiniones de los observadores y no constituye ninguna sugerencia de inversión.

*Gate.io se reserva todos los derechos de este artículo. Se permitirá la reproducción del artículo siempre que se haga referencia a Gate.io. En todos los demás casos, se emprenderán acciones legales por infracción de los derechos de autor.