Tras el exploit multimillonario confirmado ayer, el protocolo basado en BNB Chain, Ankr, acudió al blog de su empresa el 2 de diciembre para transmitir sus próximos pasos a los usuarios.
El equipo dijo que está identificando proveedores de liquidez para intercambios descentralizados, así como protocolos compatibles con aBNBc o aBNBb LP. El grupo también dijo que está evaluando fondos de garantía de aBNBc como Midas y Helio. Según la publicación, Ankr tiene la intención de comprar $ 5 millones en BNB, que utilizará para compensar a los proveedores de liquidez afectados por el exploit.
Algunos usuarios han estado intercambiando especulativamente aBNBc diluido desde el exploit, pero la compañía ha indicado que estos comerciantes no se incluirán en las medidas de compensación del protocolo, afirmando que «solo podemos compensar a los LP sorprendidos por el evento».
Actualización sobre nuestro exploit de token aBNB:
Estamos agradecidos con nuestra comunidad de DEX, intercambios y protocolos que nos ayudaron a cerrar el exploit rápidamente.
Usaremos las reservas para compensar a los proveedores de liquidez por los fondos de aBNBc.https://t.co/B2yNWBAQdX
— Ankr (@ankr) 2 de diciembre de 2022
Los desarrolladores dieron una breve explicación de cómo ocurrió el hackeo. Un actor malicioso obtuvo acceso a la «clave de implementación» del equipo o la clave utilizada originalmente para implementar los contratos inteligentes del protocolo. Dado que los contratos son actualizables, esto permitió a un atacante implementar una versión completamente nueva de uno de los contratos, dándole la capacidad de extraer una cantidad ilimitada de monedas «sin controles de autorización».
Después de obtener ese poder, el equipo dijo que el atacante extrajo 60 billones de tokens aBNBb «de la nada». Se intercambiaron por USDC y se sacaron de la red a través de puentes hacia Ethereum.
En respuesta, el equipo primero transfirió la propiedad de los contratos a una cuenta nueva y libre de compromisos. Esto aseguró los contratos, evitando que el atacante hiciera más daño. Los validadores de Ankr, la API de RPC y los servicios de App Chain no se vieron comprometidos, por lo que transferir la propiedad de los contratos fue la única acción necesaria para restaurar la seguridad.
Desde entonces, Ankr ha advertido a todos los DEX que no permitan el comercio de aBNBc o aBNBb y actualmente está pasando por el proceso de identificación de proveedores de liquidez para estos tokens, como los que suministran el token Helios y Midas.
La publicación del blog destaca que las versiones actuales de aBNBc y aBNBb ya no se podrán utilizar para BNB. Se tomará una instantánea de los saldos que tenían los usuarios antes del exploit. Se emitirán nuevas versiones de estos tokens y los titulares de tokens serán compensados con las nuevas monedas en función de los saldos que tenían antes de la explotación. Por esta razón, el equipo advirtió a los usuarios que no comerciaran con aBNBc o aBNBb.
Ankr también mencionó que se enteró de que algunos usuarios participaron en arbitrajes para beneficiarse del exploit, pero esos arbitrajes no serán recompensados ya que la instantánea se tomará para la hora y la fecha del 2 de diciembre de 2022, 12:43:18 UTC. Cualquier intercambio realizado después de este punto no afectará el reembolso del titular.
Además, los desarrolladores declararon que los proveedores de liquidez deberían eliminar sus tokens aBNBc y aBNBb de sus fondos de liquidez y, en su lugar, mantener los tokens en sus billeteras.
