Ankr, un protocolo financiero descentralizado que se basa en la cadena BNB, ha sufrido un importante hackeo debido a un error en su código que permitió al atacante, según se informa, mintear casi 20 billones de tokens BNB de las recompensas de stake de Ankr (aBNBc).
El año 2022 ha sido testigo de una avalancha de hackeos masivos de criptomonedas con pérdidas de miles de millones de dólares. Aunque el mercado cripto ha sido objeto de varios hacks, el mercado de las finanzas descentralizadas (DeFi) ha sido especialmente vulnerable a ellos. Según la empresa de análisis de blockchain Chainalysis, los inversores han perdido más de 3.000 millones de dólares a manos de los hackers a lo largo de 125 hacks en 2022 hasta ahora. Sólo en octubre se han robado 718 millones de dólares de los protocolos DeFi en 11 ataques diferentes.
Un Día Sombrío para Ankr
Our aBNB token has been exploited, and we are currently working with exchanges to immediately halt trading.
— Ankr (@ankr) December 2, 2022
El 2 de noviembre, Ankr confirmó el ataque a traves de Twitter, especificando que están trabajando con varios exchanges para detener inmediatamente el comercio del token comprometido. La plataforma también afirmó que todos los activos subyacentes en Ankr Staking estaban a salvo y que todos los servicios de infraestructura no se habían visto afectados.
Parece que el agresor consiguió mintear más de 20 billones de tokens wrapped BNB (aBNBc) y los cambió por BNB moviendo el fondo a Tornado Cash. A continuación, el atacante cambió los tokens BNB por la suma de 5 millones de USDC. Para los que no sepan, aBNBc es un token con recompensa para BNB disponible en el protocolo Ankr.
¿Cómo se Produjo el Ataque?
Our analysis shows the $aBNBc token contract has an unlimited mint bug. Specifically, while mint() is protected with onlyMinter modifier, there is another function (w/ 0x3b3a5522 func. signature) that completely bypasses the caller verification to have arbitrary mint !!! https://t.co/h51e7xpcVf pic.twitter.com/caRgasNNHq
— PeckShield Inc. (@peckshield) December 2, 2022
Según la empresa de investigación de seguridad PeckShield, el código detrás del contrato Ankr permite a cualquier usuario mintear una cantidad ilimitada de los tokens de las recompensas de stake del protocolo sin ningún tipo de verificación.
Esto permitió al atacante mintear la colosal cantidad del token aBNBc. Mientras tanto, según la firma de análisis on-chain Lookonchain, el explotador también ha utilizado servicios como Uniswap y varios puentes para intercambiar aparte de efectivo tornado para ofuscar los fondos.
@ankr has been exploited. $aBNBc has dropped -99.5%.
The hacker minted tons of $aBNBc and made a profit of 5,500 BNB (~$1.6 million)
The deployer changed the implementation contract to the vulnerable contract address before the attack (possibly due to private key compromise). pic.twitter.com/GJheXh0oDp— Beosin Alert (@BeosinAlert) December 2, 2022
Mientras tanto, la firma de seguridad de blockchain Beosin sugirió que el exploit era probablemente el resultado de vulnerabilidades en el código del smart contract combinado con claves privadas comprometidas. Señaló que el episodio hizo que el precio de aBNBc cayera un 99,5%, de 303,89 dólares a 1,53 dólares en cuestión de horas.
Deployer key compromised or inside job, it deployed an attack contract, changed the upgradeable aBNBc contract to the malicious implementation, then called the 0x3b3a5522 function to mint 10,000,000,000 tokens to his wallet. pic.twitter.com/qz1xK94ePQ
— BowTiedPickle.eth | Solidity Shipper (@BowTiedPickle) December 2, 2022
BowTiedPickle, un desarrollador de smart contracts, sugirió que el incidente fue un trabajo interno o el resultado de que la clave de despliegue de Ankr se viera comprometida.
El gigante del exchange de criptomonedas, Binance, también confirmó que su equipo está comprometido con las partes pertinentes para investigar el asunto, añadiendo que los fondos de los usuarios de Binance no están en riesgo.
We are aware of the attack targeting @ankr's aBNBc token. Our team is engaged with the relevant parties and @BNBCHAIN to investigate further.
This is not an attack against #Binance, and your funds are SAFU on our exchange. This thread will be updated should there be any updates.
— Binance (@binance) December 2, 2022
