Otro gran Defi-Exploit, el protocolo Ankr atacado por 10 billones de tokens aBNBc

En un sorprendente giro de los acontecimientos, el contrato Ankr aBNBc fue atacado recientemente, lo que resultó en la creación de 10 billones de tokens aBNBc adicionales. Esto es particularmente preocupante porque BNB Chain había lanzado recientemente la función de participación líquida, que permitía a los usuarios ganar intereses apostando sus tokens BNB en el acuerdo de participación líquida y recibiendo tokens aBNBc a cambio. El ataque ocurrió en la siguiente transacción: https://bscscan.com/address/0xf3a465c9fa6663ff50794c698f600faa4b05c777

Sumario rápido:

1. El contrato Ankr aBNBc fue atacado, lo que resultó en la creación de 10 billones de tokens aBNBc adicionales.
2. Ankr anunció que compraría tokens por valor de 5 millones de BNB para compensar a los proveedores de liquidez.
3. Tornado Cash se usa para lavar los fondos robados
4. Ankr había recibido previamente una auditoría de Peckshield advirtiendo sobre un «problema de confianza de las claves de administración», que tenía el potencial de usarse para la acuñación privilegiada de tokens aBNB.
5. Las empresas deben tomar en serio las advertencias de seguridad y abordar cualquier vulnerabilidad potencial lo antes posible para evitar pérdidas financieras catastróficas y daños a la reputación.

¿Qué es la plataforma Ankr?

Ankr es una infraestructura de cadena cruzada basada en blockchain con una plataforma DeFi que permite el desarrollo de staking y dApp, y fue diseñada y desarrollada con el objetivo de crear una Internet descentralizada, privada y segura. A través del protocolo Stkr, los usuarios pueden apostar Ethereum (ETH) a cambio de aETH, que representa las ganancias futuras en su saldo de participación depositado. Con su red principal lanzada en 2019, los usuarios pueden implementar nodos de desarrollo y crear dApps en la red, o implementar nodos de replanteo y convertirse en participantes en la plataforma ANKR Web3.

Qué pasó con el exploit

Ankr Exploiter pudo transferir 900 BNB a Tornado Cash, lo que provocó que el precio de aBNBc cayera un 99,5 %. En respuesta a esta brecha de seguridad, Ankr anunció que compraría tokens por valor de 5 millones de BNB y los usaría para compensar a los proveedores de liquidez. Además, planean tomar una instantánea y volver a emitir ankrBNB a todos los titulares válidos de aBNBc antes del exploit.

Tornado Cash es una plataforma de privacidad sin custodia basada en Ethereum que brinda a los usuarios la capacidad de depositar y retirar tokens ERC-20 y ETH sin revelar la fuente de los fondos. El protocolo genera un hash secreto cada vez que un usuario deposita fondos en los fondos de liquidez y este hash se utiliza para demostrar la propiedad cuando desea retirarlos. Esto garantiza que no se pueda rastrear el origen de los fondos, lo que brinda total privacidad de los activos. En 2020, la propiedad de Tornado Cash se transfirió a su comunidad, convirtiéndolo en un protocolo totalmente descentralizado. Como tal, ningún individuo o entidad tiene control sobre él, lo que garantiza que los usuarios puedan usar el protocolo con total confianza de que su privacidad está segura.

Este incidente sirve como recordatorio de que tener una auditoría no garantiza la seguridad. Ankr había recibido previamente una auditoría de Peckshield advirtiendo sobre el ‘problema de confianza de las claves de administración’, que tenía el potencial de usarse para la acuñación privilegiada de tokens aBNB. A pesar de esta advertencia, el equipo «Confirmó» la advertencia pero no abordó el problema subyacente.

Como demuestra este incidente, es esencial que las empresas tomen en serio las advertencias de seguridad y aborden cualquier vulnerabilidad potencial lo antes posible. Sin las medidas de seguridad adecuadas, las empresas corren el riesgo de pérdidas financieras potencialmente catastróficas y daños a la reputación. Por lo tanto, es importante que las empresas revisen periódicamente sus protocolos de seguridad y se mantengan alerta ante posibles amenazas.

Relacionado