Protocolo DeFi Ankr golpeado por explotación multimillonaria

Con el enfoque de la industria de la criptografía en el fiasco de FTX, los piratas informáticos de DeFi se han estado divirtiendo, golpeando a Ankr y, según la información disponible, robando $ 5 millones.

Los piratas informáticos pudieron explotar un error de acuñación ilimitado. El protocolo DeFi declaró que está trabajando con intercambios para mitigar el impacto del hackeo. 

Ankr cae víctima de explotación 

Ankr, un protocolo de finanzas descentralizadas (DeFi) basado en BNB Chain, ha confirmado que ha sido víctima de un exploit multimillonario. El ataque ocurrió el 1 de diciembre y fue descubierto por el analista de seguridad en cadena PeckShield el 2 de diciembre. Ankr confirmó los desarrollos poco después, afirmando en Twitter que los piratas informáticos habían logrado explotar el token aBNB. También anunciaron que estaban trabajando con intercambios para detener el comercio del token en cuestión. 

"Nuestro token aBNB ha sido explotado y actualmente estamos trabajando con intercambios para detener de inmediato el comercio".

Detalles del truco 

Según los detalles disponibles, el pirata informático pudo acuñar 20 billones de Ankr Reward Bearing Staked BNB (aBNBc) gracias a una vulnerabilidad en el contrato inteligente del token.

“Nuestro análisis muestra que el contrato de token $aBNBc tiene un error de menta ilimitado. Específicamente, mientras que mint() está protegido con el modificador onlyMinter, hay otra función (con 0x3b3a5522 func. firma) que omite por completo la verificación de la persona que llama para tener menta arbitraria !!!”

PeckShield informó que el pirata informático había transferido alrededor de 900 BNB, con un valor de alrededor de $ 253,000 a Tornado Cash. Además, el explotador también unió USDC y ETH a la cadena de bloques Ethereum. Según PeckShield, el hacker posee 3000 ETH y alrededor de 500,000 XNUMX USDC. 

Los 20 billones de tokens aBNBc en poder del atacante lo convierten en el decimotercer poseedor más grande del token. El token aBNBc es el token de recompensa para los tokens BNB apostados en la plataforma Ankr. 

Vulnerabilidades en el código de contrato inteligente 

La firma de seguridad Blockchain Beosin confirmó la fuente del exploit, afirmando que probablemente se debió a vulnerabilidades en el código del contrato inteligente, junto con claves privadas comprometidas. Según Beosin, estas vulnerabilidades podrían haber surgido de una actualización técnica realizada por Ankr. 

“@ankr ha sido explotado. $aBNBc ha caído -99.5%. El hacker acuñó toneladas de $aBNBc y obtuvo una ganancia de 5,500 BNB (~$1.6 millones). El implementador cambió el contrato de implementación a la dirección del contrato vulnerable antes del ataque (posiblemente debido al compromiso de la clave privada)”.

Un portavoz de la empresa de seguridad declaró:

"Es posible que la clave privada del implementador haya quedado expuesta en esta actualización, lo que llevó a un atacante a usar los privilegios del implementador para modificar el contrato". 

Binance investigando el exploit 

Binance, en una publicación del 2 de diciembre, confirmó que su equipo estaba comprometido con Ankr y otras partes relacionadas y estaba investigando el asunto más a fondo. También agregó que ningún fondo de usuario de Binance estaba en riesgo. 

“Somos conscientes del ataque dirigido al token aBNBc de @ankr. Nuestro equipo está comprometido con las partes relevantes y @BNBCHAIN ​​para investigar más a fondo. Esto no es un ataque contra #Binance, y sus fondos están SAFU en nuestro intercambio. Este hilo se actualizará en caso de que haya alguna actualización”.

Caídas de precios de ANKR y BNB 

Como resultado de los desarrollos, tanto ANKR como BNB vieron una caída considerable en el precio. En el momento en que se conoció la noticia del exploit, el token ANKR cayó alrededor de un 6.6%, cayendo a $0.0211. Sin embargo, desde entonces se recuperó y actualmente se cotiza a $ 0.0216. El token ya está más del 90% por debajo de su máximo histórico de $0.213. El token BNB también cayó, cayendo un 3.1%. Sin embargo, esta disminución se atribuyó a una disminución más amplia en los criptomercados. 

Los hacks de DeFi se habían disparado drásticamente en los últimos meses, y octubre se convirtió en el peor mes en la historia de DeFi. Varios protocolos DeFi, como el Servicio de despertador Ethereum, QuickSwap de Polygon, Mercados del mango, y otros, fueron víctimas de exploits.

Descargo de responsabilidad: este artículo se proporciona solo con fines informativos. No se ofrece ni pretende utilizarse como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.