O Axie Infinity passa pelo momento mais desafiador dos seus quatro anos de vida após ter sua rede atingida pelo maior ataque hacker já registrado na história do setor das criptomoedas.
Os desenvolvedores da Ronin — uma sidechain do Ethereum construída especialmente para o jogo — levaram uma semana para perceber que quase R$ 3 bilhões em criptomoedas —173.600 ETH e 25,5 mi USDC — foram roubados da rede no dia 23 de março. Na ocasião, o invasor foi capaz de obter cinco das nove assinaturas de validadores necessárias para aprovar o saque fraudulento dos fundos.
A falta de atenção da equipe da Ronin sobre a sua reserva, a centralização da rede no modelo de prova de autoridade (PoA) que permitiu que o hacker acontecesse, somado a falta de cuidado dos validadores — principalmente da Sky Mavis, a desenvolvedora do jogo que era responsável pela segurança de quatro das cinco assinaturas hackeadas —, formaram uma bola de neve de problemas que preocupa os jogadores e investidores do projeto.
Será que o Axie Infinity vai conseguir sobreviver a esse hack? E se sim, como? Heloísa Passos, CEO da empresa de blockchain games SP4CE, disse à reportagem que as próximas ações da Sky Mavis serão decisivas para determinar se será possível uma recuperação bem-sucedida do ecossistema do jogo.
“É muito cedo pra dizer se o Axie Infinity vai morrer ou não, mas eu acho que o jogo tem grandes chances de sobreviver, lembrando que eles conseguiram captar muito investimento institucional ano passado, então há uma estrutura forte por trás do game”, explicou Passos.
O risco da centralização
O hack expôs uma série de vulnerabilidades que existem para além da estrutura técnica da Ronin. Serviu principalmente para mostrar como um ecossistema controlado por um pequeno grupo de pessoas é o alvo preferido de um hacker. Afinal, é muito mais fácil roubar a assinatura de cinco validadores do que a de milhares.
“Com certeza a estrutura do Axie Infinity é falha: você tem nove validadores para um projeto do tamanho do Axie e a maioria desses validadores são centralizados na Sky Mavis. Então estamos falando de uma rede que possui um problema de centralização absurdo”.
O cofundador da guilda de jogos blockchain BAYZ, João Borges, defende a manutenção do modelo que a rede Ronin adota atualmente, mas também critica número baixo de validadores:
“Acredito que é sim um modelo confiável e que consome menos energia em relação a outras blockchains proof-of-work. O ponto falho é que eles estruturaram uma rede de apenas nove validadores, que apesar de ser mais rápido e eficiente, aumentou sistematicamente as chances de possíveis exploits”.
O problema da centralização fica ainda mais latente quando vemos que o token Axie Infinity (AXS) foi criado para servir como moeda de governança e garantir que seus detentores participassem das tomadas de decisão do jogo, uma promessa que nunca foi cumprida.
“Se você fala que tem um token de governança e ele não serve para isso, a estrutura do jogo tem um problema”, explica Passos, acrescentando que após esse ataque, é fundamental que toda a equipe do jogo se dedique a repensar e reformular a forma como opera.
Leia Também
“O que eu acho que eles devem fazer para salvar a rede é repensar como melhorar a segurança e acabar com a centralização, reavaliando a governança dentro do Axie. Eles devem escutar a comunidade e ficar mais atentos: ficar seis dias sem saber que sua rede sofreu um hack de meio bilhão de dólares é absurdo”, avaliou Passos.
Apesar das críticas, a especialista tem esperanças de que a equipe do Axie Infinity possa sair mais forte desse hack, aproveitando o incidente para identificar no que precisa melhorar e entregar isso à comunidade.
João Borges também acredita que a Sky Mavis possui “uma das comunidades e staff mais competentes da indústria”, e está confiante que o jogo vai sobreviver a este momento.
“Poucos se lembram que o Axie Infinity ainda está no início do seu desenvolvimento, estão prestes a lançar a nova versão do game (Origin), modo de jogo de Lands também a ser lançado, entre outras novidades”, relembra.
O prejuízo dos jogadores
Heloísa Passos explicou à reportagem que esse dinheiro que foi roubado da brigde da Ronin servia para alimentar o pool de liquidez da exchange descentralizada (DEX) do Axie Infinity, a Katana.
Um pool de liquidez, vale lembrar, é a base de como os protocolos de finanças descentralizadas (DeFi) operam: indivíduos ou entidades oferecem liquidez para um par de negociação, isto é, travam criptomoedas para permitir que compradores e vendedores façam transações sem precisar esperar alguém do outro lado disposto a negociar naquele momento.
Como os desenvolvedores suspenderam temporariamente a rede Ronin para resolver os problemas causados pelo hack, nenhum investidor está conseguindo retirar seu dinheiro da bridge. Aliás, mesmo que a rede estivesse disponível, não haveria fundos para retirar uma vez que a maior parte das criptomoedas que alimentavam a bridge foram roubadas.
Mas mesmo que a Sky Mavis não consiga recuperar o dinheiro, é improvável que os usuários da rede não sejam ressarcidos pelo incidente, uma vez que a empresa já se comprometeu a não deixar ninguém no prejuízo.
Agora a carteira do hacker está no radar de todo mercado cripto, de investigadores forenses a corretoras de criptomoedas. Por ter roubado uma grande quantidade de criptoativos — que posteriormente foram todos convertidos em Ethereum — o invasor terá dificuldade em lavar esse dinheiro na blockchain.
O hacker até conseguiu enviar uma pequena parcela das moedas para exchanges centralizadas, como FTX, Houbi e Crypto.com, no período que o ataque ainda não havia sido descoberto. Mas segundo dados da empresa SlowMist, cerca de 175.913 ETH ainda permanecem no endereço do invasor e 1,279 ETH em processo de transferência.
“O fato de que todas as carteiras e transações envolvidas no roubo já estarem rastreadas e colocadas em uma Black-list mundial, limita muito as possibilidades do que os hackers podem fazer e acredito que no médio ou longo prazo a equipe do Axie Infinity conseguirá solucionar este problema”, concluiu Borges.