Hacker explota Binance Yield Farms y drena tokens a $0,00

Garuda, Cerberus, KetchupSwap y otros afectados

Un hacker anónimo ha usado exploits para drenar el valor de varias granjas de rendimiento en Binance Smart Chain. Se las arreglaron para salirse con la suya con millones de dólares. 

El miércoles 16 de junio, KetchupSwap, Lokum, YBear, Piggy, CaramelSwap, GoCerberus y Garuda vieron caer sus tokens nativos a $0. Un hacker logró explotar estos protocolos DeFi, todos creados con los mismos sistemas. 

El valor exacto robado mediante el hack aún no está claro. Sin embargo, potencialmente el hacker se salió con la suya con una cantidad de dinero comparable a la capitalización de mercado de cada uno de estos proyectos. El token GARUDA tiene una capitalización de mercado de alrededor de 2 millones de dólares, mientras que CERBERUS estaba más cerca de los 4 millones de dólares. Si sumamos las otras granjas, probablemente estemos ante un exploit de 10 millones de dólares.   

Los exploits solo estaban dirigidos a tokens nativos de estos proyectos de Binance, lo que permitió al hacker amplificar masivamente sus recompensas y luego arrojar el exceso de tokens al mercado. Es importante tener en cuenta que los tokens no nativos, como por ejemplo CAKE o BNB, no se ven afectados por el exploit. 

¿Qué ha pasado? 

La mayoría de las granjas de rendimiento en Binance Smart Chain utilizan el contrato MasterChef para distribuir recompensas. Este contrato fue diseñado para distribuir recompensas por tokens del fondo de liquidez, pero todas estas granjas también utilizaron el contrato MasterChef para otros tipos de recompensas. Una de las últimas tendencias en DeFi es agregar una tarifa de transacción a cualquier transacción en la plataforma. 

En última instancia, esto le dio espacio al hacker para explotar el contrato. Debido a que el contrato de MasterChef nunca fue diseñado para comparar los saldos de los usuarios y los saldos del grupo, los usuarios pudieron generar tantos tokens en una sola cosecha que podían vaciar el grupo instantáneamente. Básicamente, el hacker podría generar miles de tokens, incluso si solo hubiera un token en el grupo. Esto le sucedió a GarudaSwap, Cerberus, KetchupSwap y todos los demás.

Ya una respuesta

Cerbero y Garuda han iniciado la iniciativa Thoreum Finance, que introduce contratos inteligentes mejorados. Los usuarios que posean uno de estos tokens serán compensados. El equipo está planeando lanzar una nueva plataforma y utilizarán una instantánea del momento anterior al exploit para determinar cuántos tokens tenían todos. Sin embargo, Thoreum Finance no tendrá listo su programa de emergencia esta semana. 

“Sabemos que esto debería suceder pronto, así que estamos hablando con un equipo profesional para que nos brinde este servicio. Pero esto llevará tiempo porque es complicado, así que ¡tengan paciencia con nosotros!”, escribió el líder del proyecto ZeusThunder en una declaración.