Explotan DeFi de Binance PancakeBunny y se llevan USD 45 millones

La plataforma de finanzas descentralizadas (DeFi) PancakeBunny Finance, que se basa en el protocolo Binance Smart Chain, fue explotada este miércoles 19 de mayo. El «ataque» ocasionó pérdidas de USD 45 millones al ecosistema. Pancake Bunny (BUNNY), el token de la plataforma, pasó de valer USD 146 a USD 9 en menos de una hora.

El autor del hecho aprovechó una vulnerabilidad para crear millones de tokens PancakeBunny (BUNNY) y luego vendió casi todos a cambio de Binance Coin (BNB). Si bien esto no afectó las reservas directamente, sí produjo una disminución abrupta en el precio del token, de modo que afectó a todos sus poseedores.

En medio de todo esto, la plataforma había comunicado en su cuenta de Twitter que había congelado todos los depósitos —habilitados nuevamente en las primeras horas del viernes 21 de mayo— y que estaba trabajando en un «plan de reembolso» para sus usuarios.

Posteriormente, el equipo de PancakeBunny anunció en una publicación en Medium la creación de un nuevo token pBunny, que en 90 días podrá ser canjeado por BUNNY. Además, informaron que hicieron cambios en el código de la plataforma para evitar este tipo de ataques en el futuro y que van a compensar el sobrante del token en circulación a través de una «estrategia de recompra agresiva», una posible quema de tokens y otras tácticas afines.

PancakeBunny figura entre las DeFi más populares, con un valor bloqueado en la plataforma suma más de USD 1.500 millones, según su sitio oficial. Esta cifra la ubicaría entre las 15 primeras en este sentido de acuerdo con los datos de DeFipulse.

¿Cómo se perpetró la explotación?

Concretamente, la maniobra se basó en un bug que la plataforma poseía para el cálculo sobre la creación de nuevos tokens Pancake Bunny, que se usa para gobernanza en el protocolo. Así, según The Block, este cálculo depende del valor del pool BNB – USDT (Tether), el cual puede manipularse dependiendo de las reservas de ambas criptomonedas.

El malhechor aprovechó este defecto utilizando préstamos flash (flash loans) de hasta 2,3 millones de BNB (cercanos a los USD 704 millones) y 2,9 millones de USDT (equivalente a casi la misma suma en dólares, dado que se trata de una stablecoin). En total se solicitaron ocho préstamos: siete en PancakeSwap, un exchange descentralizado, y uno en ForTube Bank, otra DeFi que brinda este tipo de servicios.

Con todo este caudal de fondos, el autor del fraude manipuló el precio de BNB en el pool BNB – USDT al brindarle liquidez. Luego, explica el especialista, canjeó todos los BNB restantes de los préstamos para manipular las reservas del pool, con lo que se logró crear siete millones de tokens de BUNNY.

Finalmente, el atacante vendió casi todos los tokens creados a cambio de BNB, lo que produjo una caída cercana al 100% en el valor del token. En las transacciones, además, incluyó una nota privada: «ArentFlashloansEaritating» (‘¿Acaso no son irritantes los préstamos flash?’ sumado a un juego de palabras aludiendo al término bunny —‘conejo’—, por el nombre de la plataforma).

Más allá de la caída estrepitosa, que llegó incluso por debajo de USD 10, al cierre de esta nota BUNNY cotizaba a USD 55,65, según su propia página web. Asimismo, su capitalización de mercado asciende a los USD 438 millones.

Con este hecho, las DeFi suman un nuevo ataque a todos los sufridos en 2021. Como informó CriptoNoticias a finales de abril, en los primeros cuatro meses del año el monto violentado en este tipo de plataformas ya sumaba más de USD 41 millones, aunque esa cifra sigue subiendo.