Binance, el intercambio de criptomonedas más grande del mundo, confirmó el jueves que los piratas informáticos se llevaron al menos $ 100 millones, pero que la cifra podría haber sido significativamente mayor.
La cadena de bloques de Binance, también conocida como BNB Chain y Binance Smart Chain, tomó la rara medida de suspender las transacciones y transferencias de fondos después de descubrir una vulnerabilidad que afectaba al puente de cadena cruzada BSC Token Hub. Estos puentes están diseñados para facilitar la transferencia de activos de una cadena de bloques independiente a otra.
La vulnerabilidad en el puente BSC Token Hub permitió al atacante falsificar mensajes, lo que les permitió acuñar nuevos tokens BNB. Dado que los tokens robados no eran tokens preexistentes tomados de billeteras, los fondos de los usuarios no se vieron afectados.
en un entrada en el blog el viernes, el equipo de BNB Chain dijo que el pirata informático retiró inicialmente un total de 2 millones de BNB, con un valor aproximado de $ 568 millones. Pero la empresa de seguridad blockchain nieblalenta dice que el atacante solo logró tomar alrededor de $ 110 millones porque la mayoría de los tokens robados, por un valor de alrededor de $ 430 millones, no pudieron transferirse luego de la suspensión de la cadena BNB.
El director ejecutivo de Binance, Changpeng Zhao dijo en un tuit que la empresa estima que el impacto de la filtración oscila entre 100 y 110 millones de dólares.
“El problema está contenido ahora. Tus fondos están seguros. Pedimos disculpas por las molestias y proporcionaremos más actualizaciones en consecuencia”, dijo Zhao.
Cuando se le pidió un comentario, el portavoz de Binance, Ismael García, se negó a comentar. más allá del blog publicado por el equipo de la cadena BNB, que dice que la cadena BNB ya está funcionando de nuevo. La publicación del blog agrega que se introducirá un nuevo mecanismo de gobernanza en la cadena en la cadena BNB para luchar y defenderse de posibles ataques futuros.
“El error en sí radica en cómo Binance Bridge procesa las pruebas de las transacciones que envían el dinero de una cadena a otra”, dijo a TechCrunch Adrian Hetman, líder tecnológico del equipo de clasificación de Immunefi, un proveedor del programa de recompensas por errores web3. “La lógica verifica la prueba del mensaje, algo que envía un usuario, y procede con el pago si la prueba es válida”.
“El hacker logró falsificar tal mensaje que engañó a la lógica del contrato para que pensara que el mensaje era realmente válido, a pesar de que el hacker no tenía derechos válidos sobre los fondos. BSC Token Hub luego procedió con el pago ya que todo era válido”, dijo Hetman.
Los hackeos de puentes entre cadenas se han convertido en algo común en el último año. En junio, un pirata informático explotó una vulnerabilidad para robar USD 100 millones del puente Horizon de Harmony, y en agosto, los atacantes extrajeron USD 190 millones en criptomonedas del puente de cadena cruzada de Nomad. En lo que va del año, se han robado alrededor de $ 2 mil millones en criptomonedas en hacks de puentes de cadena cruzada, según la firma de datos blockchain Chainalysis.
A principios de este año, los piratas informáticos robaron 625 millones de dólares tras el ataque al puente Ronin de Axie Infinity en marzo.