-
Las reservas de los usuarios no se vieron afectadas, pero sรญ el valor del token.
-
La compaรฑรญa anunciรณ mejoras en el cรณdigo y un plan de reembolso de las pรฉrdidas.
La plataforma de finanzas descentralizadas (DeFi) PancakeBunny Finance, que se basa en el protocolo Binance Smart Chain, fue explotada este miรฉrcoles 19 de mayo. El ยซataqueยป ocasionรณ pรฉrdidas de USD 45 millones al ecosistema. Pancake Bunny (BUNNY), el token de la plataforma, pasรณ de valer USD 146 a USD 9 en menos de una hora.
El autor del hecho aprovechรณ una vulnerabilidad para crear millones de tokens PancakeBunny (BUNNY) y luego vendiรณ casi todos a cambio de Binance Coin (BNB). Si bien esto no afectรณ las reservas directamente, sรญ produjo una disminuciรณn abrupta en el precio del token, de modo que afectรณ a todos sus poseedores.
En medio de todo esto, la plataforma habรญa comunicado en su cuenta de Twitter que habรญa congelado todos los depรณsitos โhabilitados nuevamente en las primeras horas del viernes 21 de mayoโ y que estaba trabajando en un ยซplan de reembolsoยป para sus usuarios.
Posteriormente, el equipo de PancakeBunny anunciรณ en una publicaciรณn en Medium la creaciรณn de un nuevo token pBunny, que en 90 dรญas podrรก ser canjeado por BUNNY. Ademรกs, informaron que hicieron cambios en el cรณdigo de la plataforma para evitar este tipo de ataques en el futuro y que van a compensar el sobrante del token en circulaciรณn a travรฉs de una ยซestrategia de recompra agresivaยป, una posible quema de tokens y otras tรกcticas afines.
PancakeBunny figura entre las DeFi mรกs populares, con un valor bloqueado en la plataforma suma mรกs de USD 1.500 millones, segรบn su sitio oficial. Esta cifra la ubicarรญa entre las 15 primeras en este sentido de acuerdo con los datos de DeFipulse.
ยฟCรณmo se perpetrรณ la explotaciรณn?
Concretamente, la maniobra se basรณ en un bug que la plataforma poseรญa para el cรกlculo sobre la creaciรณn de nuevos tokens Pancake Bunny, que se usa para gobernanza en el protocolo. Asรญ, segรบn The Block, este cรกlculo depende del valor del pool BNB โ USDT (Tether), el cual puede manipularse dependiendo de las reservas de ambas criptomonedas.
El malhechor aprovechรณ este defecto utilizando prรฉstamos flash (flash loans) de hasta 2,3 millones de BNB (cercanos a los USD 704 millones) y 2,9 millones de USDT (equivalente a casi la misma suma en dรณlares, dado que se trata de una stablecoin). En total se solicitaron ocho prรฉstamos: siete en PancakeSwap, un exchange descentralizado, y uno en ForTube Bank, otra DeFi que brinda este tipo de servicios.
Con todo este caudal de fondos, el autor del fraude manipulรณ el precio de BNB en el pool BNB โ USDT al brindarle liquidez. Luego, explica el especialista, canjeรณ todos los BNB restantes de los prรฉstamos para manipular las reservas del pool, con lo que se logrรณ crear siete millones de tokens de BUNNY.
Finalmente, el atacante vendiรณ casi todos los tokens creados a cambio de BNB, lo que produjo una caรญda cercana al 100% en el valor del token. En las transacciones, ademรกs, incluyรณ una nota privada: ยซArentFlashloansEaritatingยป (โยฟAcaso no son irritantes los prรฉstamos flash?โ sumado a un juego de palabras aludiendo al tรฉrmino bunny โโconejoโโ, por el nombre de la plataforma).
Mรกs allรก de la caรญda estrepitosa, que llegรณ incluso por debajo de USD 10, al cierre de esta nota BUNNY cotizaba a USD 55,65, segรบn su propia pรกgina web. Asimismo, su capitalizaciรณn de mercado asciende a los USD 438 millones.
Con este hecho, las DeFi suman un nuevo ataque a todos los sufridos en 2021. Como informรณ CriptoNoticias a finales de abril, en los primeros cuatro meses del aรฑo el monto violentado en este tipo de plataformas ya sumaba mรกs de USD 41 millones, aunque esa cifra sigue subiendo.
