O Ankr, protocolo de finanças descentralizadas (DeFi) baseado na rede BNB Chain, foi alvo de um ataque hacker na madrugada desta sexta-feira (02), perdendo mais de US$ 5 milhões em ativos. Ou seja, quase R$ 26 milhões na cotação atual em reais. O ataque teve como alvo um produto de staking de tokens executado pela Ankr.
Conforme informou a plataforma de análises BlockSec, o hacker aproveitou uma vulnerabilidade no contrato inteligente da Ankr para tokens aBNBc (Ankr Reward Bearing Stake BNB), um token de recompensa vinculado ao preço do token BNB da Binance. O hacker cunhou quatrilhões de tokens aBNBc, dos quais 20 trilhões foram trocados por BNB.
Como consequência disso, o preço do ativo digital aBNBc caiu 99,5%, de R$ 1.690 para R$ 7,93, de acordo com dados do CoinGecko.
Gráfico de preço do token aBNBc. Fonte: CoinGecko
Diante deste ataque, o CEO da Binance, Changpeng Zhao (CZ), anunciou em sua conta no Twitter que a exchange de criptomoedas havia pausado de forma temporária as retiradas. Além disso, ele informou que a corretora congelou boa parte dos ativos que o hacker moveu para a exchange:
“A análise inicial é que a chave privada do desenvolvedor foi hackeada e o hacker atualizou o contrato inteligente para um mais malicioso”, escreveu CZ. “A Binance interrompeu os saques há algumas horas. Também congelou cerca de US$ 3 milhões que os hackers moveram para a nossa CEX.”
Segundo CZ, o contrato inteligente original parece estar ok. No entanto, ele explicou que assim que um hacker obtém a chave privada do desenvolvedor, ele consegue atualizar o contrato inteligente.
- Leia também: Apple bloqueia nova versão de carteira da Coinbase
Ataque ao Protocolo Ankr
O Ankr é um protocolo que permite que os usuários façam staking de seus tokens de forma mais simples, sem ter que comprar o hardware necessário. A equipe Ankr confirmou o ataque em sua conta no Twitter:
“A equipe da Ankr avaliou o dano e é no máximo 5 milhões de dólares em BNB dos pools de liquidez. No momento, estamos trabalhando arduamente para resolver esse problema com eficiência”, disseram.
A equipe Ankr apresentou uma proposta para reembolsar os usuários afetados. A ideia do protocolo é reemitir um novo token chamado ankrBNB, que seria distribuído aos detentores de aBNBc pré-hack. Além disso, o Ankr também compraria US$ 5 milhões em tokens do BNB para compensar os provedores de liquidez.
“O token ankrBNB continuará resgatável, enquanto aBNBc e aBNBb não serão mais resgatáveis”, explicou a equipe.
Ataque ao Helio Protocol
Como o preço do token aBNBc caiu mais de 99%, isso abriu espaço para um segundo ataque. Alguém adquiriu cerca de 183.000 tokens aBNBc com 10 BNB, de acordo com a BlockSec. Então, o invasor depositou os tokens no Helio Protocol, emissor de stablecoin baseado na BNB Chain, para drenar os fundos.
O invasor conseguiu pegar emprestado US$ 16 milhões na stablecoin HAY com uma pequena quantidade de garantia aBNBc, já que o sistema oracle usado pelo Helio não conseguiu atualizar os preços do aBNBc após a rápida queda. Por fim, o hacker trocou sua stablecoin HAY por US$ 15 milhões em Binance USD (BUSD), resultando em uma perda massiva para o protocolo.
Conforme informou a BlockSec, US$ 15 milhões dos fundos roubados no segundo ataque foram transferidos para a Binance.