Los piratas informáticos robaron un estimado de US$ 110 millones el jueves por la noche de BNB Smart Chain (BSC) de Binance, el último de una serie de ataques que involucran puentes de cadena cruzada este año. La cadena se suspendió en las primeras horas del atraco, pero se reinició el viernes por la mañana.
Poco después del exploit, el CEO de Binance, Changpeng Zhao, anunció que los validadores se apagaron para detener completamente la red mientras el equipo investigaba el ataque. Los piratas informáticos intentaron drenar US$ 560 millones acuñando 2 millones de tokens BNB y depositándolos en una billetera BNB.
“El atacante de alguna manera había convencido a Binance Bridge para que simplemente les enviara 1.000.000 BNB. Dos veces”, tuiteó Samczsun, socio de investigación y jefe de seguridad de la firma de investigación criptográfica Paradigm. El pirata informático pudo obtener hasta US$ 110 millones en monedas y transferirlas fuera de BSC, mientras que otros US$ 429 millones permanecen en la billetera de BNB.
Los validadores votarán "en los próximos días" sobre si utilizar la quema automática de BNB, un proceso utilizado para mantener el suministro de BNB por debajo de los 100 millones, para recuperar los fondos pirateados, según una publicación de blog de la empresa.
Qué ocurrió con BNB
El precio de BNB cayó US$ 10 poco antes del hackeo, antes de estabilizarse en alrededor de US$ 281 por moneda.
Según los analistas y los datos en cadena, los piratas informáticos explotaron con éxito un error en las pruebas verificadas del puente que les permitió falsificar mensajes de aprobación y depositar los fondos en su cuenta. “Afortunadamente, el atacante aquí solo falsificó dos mensajes, pero el daño podría haber sido mucho peor”, concluyó Samczsun.
Algunos de los fondos robados han sido congelados, según una publicación de Binance en Reddit. Tether, la empresa matriz de la moneda estable del mismo nombre, congeló US$ 6,5 millones de fondos que se transfirieron a su cadena de bloques y se rastrearon hasta los piratas informáticos.
Recompensa por los hackers
El esperado voto del validador también incluirá una recompensa por atrapar a los piratas informáticos (hasta el 10% de los fondos recuperados) y crear el llamado programa whitehat que otorgará US$ 1 millón a los piratas informáticos benévolos que encuentren e informen errores "significativos", según el entrada en el blog.
El exploit no fue ni el primero ni el más grande de cadenas cruzadas este año. Recientemente se robaron más de US$ 2 mil millones, estableciendo puentes entre cadenas como el talón de Aquiles de las finanzas descentralizadas (DeFi).
Los puentes de cadena de bloques permiten a los usuarios transferir activos de una cadena a otra, bloqueando los activos de una cadena dentro del puente mientras acuñan el equivalente en la otra. Esta liquidez contenida dentro de los puentes los convierte en objetivos probables para los piratas informáticos, especialmente para los protocolos descentralizados que tienen sus datos y códigos disponibles públicamente en sitios web como Github.
Solo esta semana, los piratas informáticos robaron USD 28,9 millones del intercambio descentralizado Transit Swap, informó 247 Wall Street, y Sovryn, un protocolo DeFi basado en Bitcoin, perdió USD 1 millón en criptomonedas, según Bitcoinist.
*Nota publicada originalmente en Forbes EE.UU.