¡Un nuevo mes, un nuevo truco DeFi! Aunque la situación y lo que sucedió sigue sin estar claro, parece que un hacker explotó el protocolo financiero descentralizado Ankr.
Como dijo el CEO de Binance, Changpeng Zhao (CZ), hace unas horas, existen posibles ataques a Ankr y Hay. Según los escaneos iniciales, la clave privada del desarrollador fue pirateada, lo que permitió al atacante manipular un contrato inteligente de Ankr.
La firma de seguridad Blockchain PeckShield dijo a través de Twitter:
Nuestro análisis muestra que el contrato de token $aBNBc tiene un error de menta ilimitado. Específicamente, mientras que mint() está protegido con el modificador onlyMinter, hay otra función (con la función de firma 0x3b3a5522) que omite por completo la verificación de la persona que llama por una menta arbitraria.
Gracias a esto, el atacante pudo acuñar 6 cuatrillones de tokens aBNBc, que convirtió en alrededor de 5 millones de USDC. CZ informó que Binance suspendió los retiros hace unas horas. También congeló alrededor de $ 3 millones que el pirata informático transfirió a Binance.
Posibles hacks en Ankr y Hay. El análisis inicial indica que la clave privada del desarrollador ha sido pirateada y el pirata informático ha actualizado el contrato inteligente a uno más malicioso. Binance suspendió los retiros hace unas horas. También congeló alrededor de $ 3 millones que los piratas informáticos están moviendo a nuestro CEX.
— CZ 🔶 Binance (@cz_binance) 2 de diciembre de 2022
Los usuarios de Binance no se ven afectados por todo el caos
El precio del token aBNBc ha caído casi un 100 % desde el exploit. Informes recientes sugieren que el atacante ya transfirió algunos de los fondos robados a Tornado Cash. Algunas de las criptomonedas saqueadas se conectaron a través de Celer y deBridgeGate, según la firma de seguridad PeckShield.
Esta misma empresa había realizado una auditoría para Ankr hace unos meses, advirtiendo de un "problema de confianza con las claves de administración" que favorecía la acuñación de tokens aBNB. Aunque el equipo de Ankr "reconoció" la advertencia, parece que no la arreglaron.
Recientemente, la cadena BNB había introducido la función de participación líquida a través de Ankr, que permitía a los usuarios ganar intereses al asignar tokens BNB al contrato de participación líquida y recibir aBNBc.
Sin embargo, Binance rápidamente dio el visto bueno, diciendo que el equipo de BNB está en contacto con las partes relevantes. “Esto no es un ataque a #Binance, y sus fondos están SAFU en nuestro intercambio”, dijo en un comunicado a través de Twitter.
Dado que el hacker vació casi por completo los fondos de liquidez de aBNBc en PancakeSwap y ApeSwap, el precio de aBNBc cayó un 99,5 % después del exploit.
El comerciante oportunista convierte menos de $ 3,000 en $ 15.5 millones
Según la firma de análisis Lookonchain, un comerciante oportunista se aprovechó de la situación y obtuvo una ganancia de 15,5 millones de BUSD con una participación mínima de 10 BNB.
Después de que el minero de Ankr se deshiciera de aBNBc, el comerciante compró 183 885 aBNBc con solo 10 BNB por un valor de $ 2879, luego depositó 183 885 aBNBc con Helio como garantía y tomó prestados 16 millones de HAY. Al final, vendió 16 millones de HAY y recibió 15,5 millones de BUSD.
Como resultado, la moneda estable HAY experimentó un colapso masivo. El precio de la moneda estable ocasionalmente bajó a $0,21, pero aun así logró recuperarse gradualmente a $0,61 en el momento de la publicación.
En particular, Binance Labs realizó una inversión estratégica en Ankr en agosto de 2022. La inversión de Binance Labs tenía como objetivo ayudar a Ankr a mejorar aún más la escalabilidad de las redes blockchain.
Quizás después de la noticia, el precio de BNB cayó un 3,1% y cotizaba a $290 en el momento de la publicación.
Precio de BNB, gráfico de 4 horas. Fuente: Vista comercial