Por Hannah Pérez  

El protocolo sufrió un ataque de préstamos flash que provocó una caída masiva de 95% en el precio del token BUNNY en cuestión de unas horas. 

***

El protocolo descentralizado basado en Binance Smart Chain (BSC), Pancake Bunny, sufrió un ataque de piratería el miércoles por la noche. El atacante habría ganado USD $45 millones con el hack, que provocó una caída del 95% en precio del token nativo del protocolo, BUNNY.

De acuerdo con un informe compartido por el equipo de PancakeBunny, el protocolo estuvo sujeto a un ataque de préstamos rápidos (flash loans) por parte de un actor externo. El atacante utilizó un recurso para acuñar millones de tokens BUNNY y vendió la mayoría de ellos por BNB, dejando a los proveedores de liquidez sin recursos. 

Si bien el ataque no afectó directamente a las bóvedas del protocolo, provocó un descenso pronunciado en el precio de los tokens BUNNY, afectando a todos los poseedores. Según reportó Cointelegraph, el ataque provocó que el precio de BUNNY subiera rápidamente de USD$ 150 a USD$ 240 antes de caer a cero en solo 30 minutos.

Después, BUNNY se consolidó por debajo de USD$ 10 durante aproximadamente dos horas. El token, que había registrado un máximo histórico de USD $545 el pasado 27 de abril, se cotiza en USD $30,4 para el momento de redacción, con pérdidas de 75% en las últimas 24 horas, según CoinMarketCap.

Ataque de flash loans a PancakeBunny

De acuerdo con el investigador Igor Igamberdiev, de The Block Research, el hackeo se produjo a raíz de una falla dentro de PancakeBunny con respecto a cómo el protocolo calcula la cantidad de nuevos tokens BUNNY que se acuñarán.

La función de cálculo para acuñar nuevos tokens dependía del precio del grupo de liquidez BNB-USDT (Binance Coin/ Tether). Si la proporción de las reservas de BNB o USDT de este grupo fuera mayor, el precio del grupo bajaría, y viceversa. En otras palabras, el precio de este grupo podría manipularse en función de las reservas de BNB y USDT.

El atacante se aprovechó de este error mediante préstamos flash. Se tomaron ocho préstamos flash, siete de los fondos de PancakeSwap y uno de ForTube Bank, un protocolo de préstamos DeFi. El atacante pidió prestados 2,3 millones de BNB (por valor de USD $704 millones) y 2,9 millones de USDT (USD $2,9 millones), por un total de casi 707 millones de dólares estadounidenses.

Dichos préstamos luego se utilizaron para manipular el precio del grupo BNB-USDT. Al otorgar liquidez al grupo, los usuarios ganan tokens BUNNY. El atacante acuñó un total de 7 millones de tokens de conejito en el proceso, que luego vendió por BNB, provocando la caída masiva en el precio de Bunny.

La mayoría de los tokens de conejito acuñados se cambiaron por BNB, que permitieron pagar parte de los flash loans. La cantidad de BUNNY y BNB restante resultaron en una ganancia de USD $45 millones para el atacante.

Trabajando en plan de reembolso

El equipo de PancakeBunny ha compartido toda la información disponible sobre el ataque a través de su cuenta Twitter y ha comunicado que está “trabajando en un plan de reembolso“. Ellos recordaron que ninguna bóveda se vio comprometida, por lo que los fondos de los usuarios se encuentran a salvo.

PancakeBunny además informó que reanudará las operaciones normales con un aumento de las emisiones de BUNNY, una vez que se haya corregido el código en las próximas 24 horas. “Durante los próximos 90 días, Bunny Pool desembolsará el 100% de las tarifas de rendimiento acumuladas hasta el momento del exploit“, escribió el equipo en un comunicado.

El ataque es el último de una serie de exploits en protocolos de finanzas descentralizadas que aprovechan los flash loans para drenar grandes cantidades de dinero.

En abril, la empresa de datos Blockchain, Messari, informó que los préstamos flash se habían convertido en el vector de ataque más popular en el ecosistema DeFi, representando aproximadamente la mitad de los USD$ 285 millones en ataques DeFi identificados desde 2019.


Lecturas recomendadas


Fuente: The Block, Medium, Medium, Cointelegraph

Versión de Hannah Estefanía Pérez / DiarioBitcoin

Imagen de Unsplash