Como hackers usam ‘pontes’ entre blockchains para roubar criptomoedas

Um roubo de criptomoedas de US$ 540 milhões, revelado na semana passada, marcou a mais recente de uma série de hackeamentos de arregalar os olhos, atingindo uma tecnologia vista como um pilar para a construção de uma internet mais descentralizada.

Os hackers movimentaram os fundos explorando a Ronin Network, software que permite aos usuários do jogo online “Axie Infinity” transferir os ativos digitais em diferentes blockchains. As crescentes somas de dinheiro trocadas por essas ‘pontes’ as transformaram em alvos.

Os desenvolvedores estão correndo para criar ‘pontes’ para construir sistemas descentralizados – conhecidos como “web3” – que podem hospedar aplicativos cada vez mais complexos, como jogos ou serviços de empréstimo. No entanto, a expansão veio com crescentes riscos de segurança à medida que os usuários migram para blockchains e os investidores injetam dinheiro nas empresas por trás deles.

“A quantidade de valor que está sendo colocada nessas pontes está subindo rapidamente”, disse Arjun Bhuptani, fundador da Connext Inc., que desenvolve ferramentas que ajudam a transferir informações entre blockchains. “Os hackeamentos ficarão cada vez maiores até descobrirmos mecanismos melhores [de proteção]”.

Os sistemas financeiros descentralizados sofreram pelo menos US$ 10,5 bilhões em perdas em 2021 devido a crimes, de acordo com a empresa de análise de blockchain Elliptic Inc., uma estimativa que inclui fundos roubados e quedas de preços em criptomoedas oferecidas por sistemas que foram hackeados.

Os invasores em agosto passado roubaram mais de US$ 600 milhões em criptomoedas da Poly Network antes de devolver os fundos. Em fevereiro, hackers roubaram ativos digitais no valor de cerca de US$ 320 milhões da Wormhole, obrigando a empresa de trading a reembolsar os usuários.

Enquanto os projetos de criptomoedas anteriores viviam em blockchains individuais, como o Ethereum, os desenvolvedores nos últimos anos procuraram expandir em diferentes cadeias para permitir que os usuários movimentassem ativos em transações mais rápidas e baratas.

A mudança desencadeou um debate dentro da indústria de blockchain sobre segurança e utilidade, mas dinheiro e energia estão, no entanto, se voltando para projetos de cadeia cruzada, pressionando as ferramentas de segurança para acompanhar o ritmo, de acordo com especialistas em blockchain.

“Todo mundo está apenas ocupado ganhando dinheiro”, disse Dyma Budorin, executivo-chefe da empresa cibernética Hacken, focada na web3.

Como os hackers usam as pontes

Algumas pontes verificam se os dados ou fundos de uma cadeia podem passar para outra por meio de assinaturas digitais necessárias para aprovar transações. O desenvolvedor por trás do Ronin, Sky Mavis, exigiu cinco dessas chaves de validação em uma rede de nove nós antes que os usuários pudessem transferir os fundos ganhos jogando Axie Infinity. O jogo, que é popular em alguns países, incluindo as Filipinas, permite que os usuários ganhem criptomoedas criando e lutando contra criaturas digitais.

A Sky Mavis não respondeu aos pedidos de comentários, mas em um post no blog disse que os hackers obtiveram as cinco chaves necessárias para acessar a ponte que sustenta o Axie Infinity por meio de um hackeamento de engenharia social. Os hackers roubaram os fundos dos usuários em 23 de março, disse a Sky Mavis, e a empresa descobriu o roubo em 29 de março, depois que um usuário não conseguiu sacar fundos.

A Sky Mavis disse que está “comprometida em garantir que todos os fundos drenados sejam recuperados ou reembolsados”. Os criptoativos roubados, que os hackers começaram a transferir para um serviço de mixagem que pode ser usado para ajudar a lavar fundos ilícitos, agora valem mais de US$ 600 milhões, segundo a Etherscan, uma plataforma de monitoramento de blockchain.

A Sky Mavis também está aumentando o número de chaves necessárias para transações para oito e expandindo o número total de validadores da Ronin para descentralizar ainda mais o sistema.

“A causa raiz do nosso ataque foi o pequeno conjunto de validadores que tornou muito mais fácil comprometer a rede”, acrescentou a Sky Mavis.

Visar essas chaves é um tipo incomum de ataque cibernético contra pontes, disse Ronghui Gu, fundador da empresa de segurança de blockchain Certified Kernel Tech LLC. Mais frequentemente, disse ele, os hackers visam contratos inteligentes, softwares que desempenham um papel semelhante aos bancos e advogados, avaliando e validando transações potenciais.

Os hackers podem explorar o software encontrando bugs ou essencialmente enganando os contratos para permitir uma transação, disse Gu, que também é professor assistente de ciência da computação na Universidade de Columbia. Ele comparou o processo digital à falsificação de um cheque administrativo garantido por um banco. “Uma vez que o hacker recebe um cheque certificado, ele pode usá-lo para sacar dinheiro de uma conta”, disse Gu.