El intercambio de criptomonedas Binance se puso en modo de emergencia este jueves luego de un ataque. El intercambio estuvo inmediatamente al tanto del evento y emitió una publicación de blog hoy que detalla los pasos tomados para mitigarlo. En total, los piratas informáticos se salieron con la suya con $ 110 millones en la criptomoneda nativa del intercambio, $ BNB. Sin embargo, los informes iniciales respaldados por el análisis de blockchain informaron una cifra mucho mayor de $ 570 millones (es posible que aún vea algunos sitios web con ese número). Pero una respuesta rápida de Binance detuvo todas las transacciones en el intercambio supuestamente descentralizado. Actualmente, $7 millones de los fondos robados están congelados y pendientes de recuperación.
Para confirmar, hemos suspendido BSC después de haber determinado un posible exploit. Ahora todos los sistemas están contenidos y estamos investigando de inmediato la posible vulnerabilidad. Sabemos que la Comunidad asistirá y ayudará a congelar cualquier transferencia. Todos los fondos están seguros.6 de octubre de 2022
El exploit apuntó al puente de cadena cruzada entre BNB Beacon Chain (BEP2) y BNB Smart Chain (BSC). Los puentes son aplicaciones de software que permiten que dos cadenas de bloques diferentes interactúen, bloqueando ciertos activos de una cadena y «acuñando» (creando) activos equivalentes en la cadena de destino. Los puentes han sido el objetivo de la mayoría de los ataques de alto nivel en el espacio de las criptomonedas debido a la complejidad de unir protocolos dispares en un único punto de falla. El FBI incluso ha hecho un anuncio de servicio público sobre el asunto.
Según la publicación del blog, el ataque se produjo a través de una falsificación sofisticada de una prueba de bajo nivel en una biblioteca común, lo que permitió al pirata informático acuñar 2 millones de unidades de $BNB sin implementar ninguna criptomoneda para respaldar el intercambio. Después de asegurar las unidades de 2M, el hacker desvió porciones de los fondos a otros protocolos puente descentralizados con la intención de «lavar» las unidades de 2M en diferentes criptomonedas. El atacante convirtió con éxito el equivalente de $57 millones al protocolo de cadena de bloques Fantom y su token nativo, otros $53 millones a Ethereum y $400,000 a Polygon.
La publicación del blog de Binance pidió a las partes interesadas de Binance, esencialmente, cualquiera que tenga $BNB, que participara en una serie de encuestas para permitir una decisión basada en la comunidad sobre los próximos pasos. Estos votos de gobernanza, que ocurrirán en la cadena, decidirán si los fondos pirateados deben permanecer congelados (no está claro qué repercusiones podría tener esto en los usuarios) o no. Además, Binance votará sobre la creación de un sistema de recompensas de recompensas por errores, algo que la mayoría de las cadenas de bloques ya cuentan y que ha llevado a numerosas explotaciones de «sombrero blanco» que vieron cómo los fondos se desviaban y devolvían a cambio de recompensas a veces millonarias.
Una de las promesas de la tecnología blockchain, y de las criptomonedas en particular, es la descentralización. Esto se logra teniendo tantos usuarios como sea posible con una copia de la cadena de bloques propiamente dicha, lo que garantiza que siempre haya una forma de encontrar una versión real del historial de transacciones. Sin embargo, en la mayoría de las cadenas de bloques, los validadores no los realiza el usuario promedio de criptomonedas, sino los nodos confiables. A estos nodos se les ha dado el poder de participar en el registro de transacciones y proteger la cadena de bloques de un ataque del 51% (donde cualquier persona que controle la mitad de los validadores puede crear sus propias transacciones artificiales y aplicarlas en la cadena de bloques con carácter definitivo).
Pero la descentralización significa que ningún jugador individual puede alterar o incluso detener la escritura en los libros de contabilidad públicos que constituyen todas y cada una de las cadenas de bloques. Binance Chain, por otro lado, se vio obligada a mostrar su mano centralizada en el sentido de que logró contactar a los 26 validadores (44 en total en diferentes zonas horarias), alertándolos sobre el robo y evitando que se crearan nuevos bloques de transacciones. Esto puede haber detenido la hemorragia y evitado que los fondos robados salieran de la cadena. Aún así, sin duda ha causado estrés a los usuarios, que no pudieron hacer nada con sus fondos hasta que se reinició la cadena, lo que sucedió hoy.
También plantea la cuestión de futuras paradas en la cadena BNB y lo que eso podría significar para los fondos de los usuarios en caso de un paso en falso más grave.
Si bien existen riesgos con respecto a la centralización, también se puede defender el impacto de que Binance elija no detener su cadena. Con dos millones de unidades adicionales de la moneda BNB apareciendo de la nada, el precio de cada $BNB en sí mismo necesariamente bajaría para dar cuenta del mayor número de activos. Si esta caída fuera lo suficientemente severa, y con la cadena operando normalmente, los usuarios podrían entrar en pánico y vender sus propios tokens BNB antes de que el precio descienda aún más. Esto, a su vez, podría generar una venta forzosa, con precios que caen en picada incluso si los compradores no logran absorber las montañas de BNB que se vuelven a poner en el mercado después de la ansiada liquidez. Una vez que comienza este ciclo, es extremadamente difícil detenerlo. Varias empresas que cotizan en bolsa y blockchains han visto desarrollarse estos eventos, en su mayoría con efectos catastróficos.
Tras la noticia del exploit, y tal vez algo respaldado por la imposibilidad de vender activos, el token BNB solo experimentó una disminución del valor del 3,35%. Tendremos que esperar y ver qué decide la comunidad de Binance al respecto, pero al menos por ahora, parece haberse evitado una crisis.