Ronin, la blockchain sottostante il popolare Axie Infinity, è stata violata e sono stati sottratti ben 173.600 Ethereum (per un controvalore superiore a 600 milioni di dollari) e 25,5 milioni di USDC (stablecoin il cui valore è legato al dollaro). I fatti hanno avuto inizio il 23 marzo, ma soltanto nelle ultime ore il gruppo Sky Mavis ha scoperto quanto accaduto e bloccato ulteriori furti.
Un laconico e approfondito comunicato ha fornito una descrizione completa di quanto accaduto, illustrando soprattutto ciò che andrà ad accadere ora:
Stiamo lavorando con gli inquirenti, con crittografi forensi e con i nostri investitori per assicurare che ogni fondo sarà recuperato o rimborsato.
Cosa è accaduto
AXS, RON e SLP sono al sicuro, invece chi ha subito il furto delle valute dovrà ora attendere che il gruppo trovi una soluzione per rimborsare la cifra indicata. Per mandare a segno il colpo, i cracker hanno preso il controllo di quattro validatori (Sky Mavis e Axie DAO) approfittando di un errore: dopo aver chiesto il supporto Axie DAO a fine 2021 per poter supportare il successo raccolto, a dicembre la collaborazione è stata interrotta, ma i permessi di accesso sono rimasti attivi senza revoca alcuna. Ciò ha creato una porta laterale a disposizione di malintenzionati i quali hanno avuto buon gioco ad approfittarne per penetrare la blockchain e far proprio il bottino. Gli ETH scomparsi sono ora sotto la lente di ingrandimento degli esperti di Chainalysis che tenteranno di tracciarne ulteriori spostamenti o monetizzazioni al fine di scoprire la fonte del furto e trovare i responsabili.
Problemi simili sono già accaduti e solo nello scorso mese di agosto i fatti della Poly Network vedevano in ballo un bottino del tutto similare a quello odierno. Questo mette in discussione la fiducia degli utenti, i quali con ogni probabilità non vedono minata l’affidabilità delle criptovalute in sé, quanto di una certa categoria di Exchange che non sanno garantire nel tempo la solidità dei portafogli. Binance da parte sua ha immediatamente interrotto il proprio ponte verso Ronin, così da mettersi al riparo da possibili effetti collaterali, e così hanno fatto altri gruppi partner.
Nei giorni scorsi i pericoli della DeFi sono stati evidenziati in un ampio report che oggi emerge come doppiamente importante. Solo nelle ultime ore, inoltre, Coinbase ricordava come non occorrano nuove restrizioni poiché le transazioni sono già tracciate (ma ora i crittografi forensi dovranno dimostrare di poter identificare gli autori del furto o quantomeno di bloccare la monetizzazione del bottino).
Il modello play-to-earn aveva raccolto risultati eclatanti, ma la crescita vorticosa del gruppo aveva aperto qualche falla di troppo nel sistema. Ora 173 mila Ethereum attendono di essere monetizzati, ma chi ne controlla il portafoglio dovrà muoversi con estrema cura poiché ha gli occhi degli inquirenti su ogni singola mossa. Paradossalmente quella messa a segno è la parte più semplice del furto, ora viene il difficile: riciclare impunemente le criptovalute sottratte.