A empresa por detrás do videojogo Axie Infinity descobriu que perdeu o equivalente a cerca de 540 milhões de euros devido a um ciberataque que ocorreu em Dezembro. O furto, divulgado esta terça-feira, só foi detectado depois de um dos utilizadores do jogo reportar dificuldades em retirar dinheiro da sua carteira digital no início desta semana. Após investigação, a empresa percebeu que o dinheiro tinha desaparecido da blockchain do jogo.

O Axie Infinity, lançado em 2018, é um jogo que depende de transacções digitais com criptomoedas. Para começar a jogar, os utilizadores devem comprar pelo menos três personagens (chamados Axies) que são como “animais de estimação digitais”, tipo Pokémon, que as pessoas devem treinar. Ao avançar no jogo, os utilizadores ganham “pontos” (SLP, na gíria do jogo) que podem usar para melhorar os seus Axies ou trocar por criptomoedas.

O sistema funciona através da ronin, uma versão da blockchain que é uma base de dados descentralizada que nasceu para registar transacções com bitcoins (as primeiras das criptomoedas) e outros bens digitais. Os Axies são um exemplo de NFT: bens digitais que são registados em blockchains que ganharam muita fama no último ano.

A popularidade dos NFT disparou em Março de 2021, quando o artista digital Mark Winkelmann (Beeple) conseguiu vender o registo de uma colagem digital na blockchain por cerca de 58 milhões de euros. Desde então têm sido reportados NFT de obras de arte, relíquias religiosas e até radiografias.

O videojogo Axie Infinity tem beneficiado deste sucesso, com cerca de 2,8 milhões de utilizadores diários. Em Outubro de 2021, por exemplo, foram registadas 4,88 milhões de transacções na ronin com o valor médio a rondar os 380 euros. Os dados são da DappRadar, uma empresa que regista transacções feitas nas blockchains.

A Sky Mavis, que é a empresa vietnamita que desenvolve o jogo, diz que os hackers se aproveitaram de uma falha escondida na ronin. De acordo com um dos fundadores, Aleksandr Leonard Larsen, o ataque resultou de “um esquema de engenharia social misturado com erro humano”.

Os atacantes terão obtido as chaves privadas da ronin (uma espécie de palavra-passe usada para aceder aos objectos registados na blockchain) depois de atacar computadores que usavam a rede. Larsen promete que os clientes serão reembolsados, mas não avança mais detalhes.

O dinheiro roubado está numa carteira digital da blockchain ethereum; por ora, não se conhece a identidade dos atacantes. A equipa da Sky Mavis diz que está a trabalhar com a Chainalysis, uma empresa nova-iorquina que segue sistemas de lavagem de dinheiro, para tentar recuperar os fundos. Contactada pelo PÚBLICO, a Chainalysis confirma que a investigação já começou, mas que é impossível “comentar sobre o tema nesta altura.”

​“Estamos empenhados em garantir que todos os fundos roubados sejam recuperados ou reembolsados”, escreveu Larsen numa publicação na rede social Twitter.