El protocolo de finanzas descentralizadas ha anunciado que está trabajando con los exchanges para dejar de comerciar con su moneda de recompensa de stake, aBNBc, inmediatamente.

El 1 de diciembre se utilizó un exploit multimillonario contra el sistema de finanzas descentralizadas (Defi) basado en la BNB chain, Ankr.

#PeckShieldAlert Seems like @ankr has been exploited, $aBNBc has dropped -50%, tons of $aBNBc have minted to https://t.co/nyfwdd6fWI
and the exploiter transferred some of the stolen funds to Tornado cash or bridged them via celer and deBridgeGate to Ethereum @peckshield pic.twitter.com/vK94dIEWIt

— PeckShieldAlert (@PeckShieldAlert) December 2, 2022

PeckShield, un analista de seguridad de la cadena, parece haber detectado el ataque por primera vez a las 12:35 UTC del 2 de diciembre.

Ankr tuiteó una hora después del hackeo para aclarar que se había abusado del token aBNB y que estaba trabajando con los exchanges para dejar de comercializar el token comprometido.

El Token con Recompensa de Ankr BNB

Se dice que el atacante minteo un token como recompensa debido al stake de BNB en el protocolo Ankr Reward Bearing Staked BNB (aBNBc), por un valor de 20 billones.

El hacker supuestamente utilizó servicios como Uniswap, Tornado Cash y varios puentes para intercambiar y ocultar los fondos para ganar unos 5 millones de dólares de USD Coin, según un tweet de la empresa de análisis en cadena Lookonchain. En un comunicado posterior, también afirmó que,

«todos los activos subyacentes en Ankr Staking son seguros en este momento, y todos los servicios de infraestructura no se ven afectados».

La Mejora Técnica

La empresa de seguridad de blockchain Beosin comentó el hackeo y dijo que el exploit probablemente fue causado por fallas en el código del smart contract y las claves privadas robadas, que pueden haber sido el resultado de una actualización técnica reciente del equipo de Ankr.

Seems that @ankr got hacked an hour ago!

The exploiter minted 20T aBNBc and dumped it on #PancakeSwap.

At present, the exploiter have successfully exchanged more than 5 million $USDC.https://t.co/hF1tgNYw0t pic.twitter.com/XIPjBi6wvs

— Lookonchain (@lookonchain) December 2, 2022

Según los datos de CoinMarketCap, el episodio de minteo masivo hizo que el precio de aBNBc se desplomara un 99,5% en un par de horas, pasando de 303,89 dólares a 1,53 dólares.

@ankr has been exploited. $aBNBc has dropped -99.5%.
The hacker minted tons of $aBNBc and made a profit of 5,500 BNB (~$1.6 million)
The deployer changed the implementation contract to the vulnerable contract address before the attack (possibly due to private key compromise). pic.twitter.com/GJheXh0oDp

— Beosin Alert (@BeosinAlert) December 2, 2022

📣 We are introducing changes to all Reward Bearing and Earning Tokens token models.

This is a strategic decision that we believe will best serve our community of holders, stakers and liquidity providers 🤝

For a better understanding, read the 🧵 below.https://t.co/N6RjZOtUYH pic.twitter.com/v7wuQnnx8g

— Ankr (@ankr) December 1, 2022

«Es posible que la clave privada del desplegador quedara expuesta en esta actualización, lo que llevó a un atacante a utilizar los privilegios del desplegador para modificar el contrato», dijo el portavoz de Beosin

El exchange de criptomonedas Binance confirmó en un tuit el 2 de diciembre que su equipo está trabajando con las partes pertinentes para investigar más a fondo la situación y que los fondos de sus usuarios están a salvo. Además, la dirección de la wallet del hacker ha sido incluida en la lista negra, según la página de Twitter de la BNB chain.

We are aware of the attack on @ankr's aBNBc that happened earlier today, leading to a substantial amount of new aBNBc being minted. The exploiter has been blacklisted.
Our community is on top of it, coordinating a response. We will provide more updates as they become available.

— BNB Chain (@BNBCHAIN) December 2, 2022