El protocolo Ankr defi, basado en la BNB chain, ha sufrido un importante exploit como consecuencia de un fallo en su código que permitía el minteo ilimitado de su token. El equipo ya lo ha confirmado en Twitter y ha afirmado que ninguno de los servicios de infraestructura se ha visto afectado y que todos los activos de las apuestas siguen siendo seguros.
El código del contrato de Ankr, según la empresa de análisis de seguridad PeckShield, habría permitido a cualquier usuario crear un número infinito de tokens de las recompensas de stake del protocolo sin necesidad de verificación. Esto hizo posible que el atacante emitiera seis cuatrillones de tokens aBNBc.
Our analysis shows the $aBNBc token contract has an unlimited mint bug. Specifically, while mint() is protected with onlyMinter modifier, there is another function (w/ 0x3b3a5522 func. signature) that completely bypasses the caller verification to have arbitrary mint !!! https://t.co/h51e7xpcVf pic.twitter.com/caRgasNNHq
— PeckShield Inc. (@peckshield) December 2, 2022
El atacante pudo intercambiar 20 billones del token aBNBc por BNB después de crear los cuatrillones de aBNBc. Según un tweet de otra firma de análisis en cadena, Lookonchain, el explotador ha intercambiado y ofuscado posteriormente los fondos utilizando servicios como Uniswap, Tornado Cash y diferentes puentes para ganar unos 5 millones de dólares en USD Coin (USDC).
El Ankr Reward Bearing Staked BNB (aBNBc) de la plataforma ha caído más de un 99% desde el ataque. Según los datos de Coinmarketcap, el token ha caído de más de 300 dólares a apenas 1,5 dólares en las últimas 24 horas, aunque con un volumen de negociación del 14.138% al cierre de esta edición.
Ankr Pide la Paralización Inmediata de los Retiros
La plataforma reconoció la explotación del protocolo financiero descentralizado, al tiempo que confirmó la explotación de su moneda Ankr Reward Bearing Staked BNB (aBNBc).
All underlying assets on Ankr Staking are safe at this time, and all infrastructure services are unaffected.
— Ankr (@ankr) December 2, 2022
Dijeron que estaban trabajando actualmente con los exchanges para detener inmediatamente el comercio. El director general de Binance, CZ, confirmó que su exchange había pausado los retiros y también congeló unos 3 millones de dólares que los hackers trasladaron a la plataforma.
«Actualmente estamos elaborando un plan y nos comprometemos a compensar a los usuarios afectados», tuiteó Ankr.
El equipo, que también se compromete a volver a emitir el aBNBc casi a cero, anima a los usuarios a no operar y, si son proveedores de liquidez, a retirar la liquidez de los DEX.
Por otro lado, un trader oportunista se benefició del exploit y convirtió 10 BNB (2.885 dólares) en 15,5 millones de BUSD. El comerciante lo consiguió utilizando Helio, un protocolo de préstamo DeFi, que no tenía un precio preciso para los aBNBc después de la caída.
El operador también pudo pedir prestados 16 millones de dólares de la poco negociada stablecoin HAY y convertirlos en BUSD utilizando el precio del aBNBc anterior a la caída. Esto ha hecho que la stablecoin HAY se desplome, cayendo hasta 20 céntimos, pero actualmente se está recuperando de nuevo, con un precio de 63 céntimos, según CoinMarketCap.
