El Protocolo DeFi Ankr Sufre un Hackeo Multimillonario

hack

Ankr, un protocolo financiero descentralizado que se basa en la cadena BNB, ha sufrido un importante hackeo debido a un error en su código que permitió al atacante, según se informa, mintear casi 20 billones de tokens BNB de las recompensas de stake de Ankr (aBNBc).

El año 2022 ha sido testigo de una avalancha de hackeos masivos de criptomonedas con pérdidas de miles de millones de dólares. Aunque el mercado cripto ha sido objeto de varios hacks, el mercado de las finanzas descentralizadas (DeFi) ha sido especialmente vulnerable a ellos. Según la empresa de análisis de blockchain Chainalysis, los inversores han perdido más de 3.000 millones de dólares a manos de los hackers a lo largo de 125 hacks en 2022 hasta ahora. Sólo en octubre se han robado 718 millones de dólares de los protocolos DeFi en 11 ataques diferentes.

Un Día Sombrío para Ankr

El 2 de noviembre, Ankr confirmó el ataque a traves de Twitter, especificando que están trabajando con varios exchanges para detener inmediatamente el comercio del token comprometido. La plataforma también afirmó que todos los activos subyacentes en Ankr Staking estaban a salvo y que todos los servicios de infraestructura no se habían visto afectados.

Parece que el agresor consiguió mintear más de 20 billones de tokens wrapped BNB (aBNBc) y los cambió por BNB moviendo el fondo a Tornado Cash. A continuación, el atacante cambió los tokens BNB por la suma de 5 millones de USDC. Para los que no sepan, aBNBc es un token con recompensa para BNB disponible en el protocolo Ankr.

¿Cómo se Produjo el Ataque?

Según la empresa de investigación de seguridad PeckShield, el código detrás del contrato Ankr permite a cualquier usuario mintear una cantidad ilimitada de los tokens de las recompensas de stake del protocolo sin ningún tipo de verificación.

Esto permitió al atacante mintear la colosal cantidad del token aBNBc. Mientras tanto, según la firma de análisis on-chain Lookonchain, el explotador también ha utilizado servicios como Uniswap y varios puentes para intercambiar aparte de efectivo tornado para ofuscar los fondos.

Mientras tanto, la firma de seguridad de blockchain Beosin sugirió que el exploit era probablemente el resultado de vulnerabilidades en el código del smart contract combinado con claves privadas comprometidas. Señaló que el episodio hizo que el precio de aBNBc cayera un 99,5%, de 303,89 dólares a 1,53 dólares en cuestión de horas.

BowTiedPickle, un desarrollador de smart contracts, sugirió que el incidente fue un trabajo interno o el resultado de que la clave de despliegue de Ankr se viera comprometida.

El gigante del exchange de criptomonedas, Binance, también confirmó que su equipo está comprometido con las partes pertinentes para investigar el asunto, añadiendo que los fondos de los usuarios de Binance no están en riesgo.