Un rug pull de la BNB Chain estafa a los usuarios por USD 2 millones (USD 11 millones a los precios actuales de BNB). Los usuarios piden ayuda a Binance. Binance dice que ha congelado los fondos, pero luego se retracta. Los fondos permanecieron en la dirección durante casi dos años cuando Binance tomó medidas repentinas para congelar la billetera del estafador, que había alcanzado los USD 10.8 millones. Anteriormente, Binance había declarado que no podía congelar billeteras fuera de las direcciones de exchanges debido a la naturaleza descentralizada de BNB Chain. Los usuarios están descontentos y exigen a Binance que haga más. Esta es la historia de la estafa PopcornSwap.
El 28 de enero de 2021, el exchange descentralizado PopcornSwap en Build N Build (BNB) Chain ejecutó una estafa de salida, robando más de USD 2 millones de los activos de los proveedores de liquidez a través de una función poco conocida de “preUpgrade” contenida en el contrato inteligente del exchange. Los usuarios mantenían la esperanza de que Binance, creador de BNB Chain, pudiera congelar la dirección de los estafadores. El valor de los BNB depositados en la cuenta del estafador ha crecido hasta superar los 10 millones de dólares desde entonces, mientras los usuarios especulaban sobre si los fondos habían sido congelados o no.
Una investigación revela que, contrariamente a la creencia popular, Binance es de hecho capaz de congelar direcciones de billeteras privadas en BNB Chain, siempre y cuando todos los validadores den su consentimiento. Aunque la dirección del atacante fue finalmente congelada por Binance, esta acción se produjo casi dos años después de la estafa. En los dos años transcurridos, el atacante mantuvo voluntariamente los fondos en la cuenta original y no los movió.
El rug pull de PopcornSwap
En 2021, PopcornSwap se convirtió en uno de los primeros exchanges descentralizados en la recién lanzada Binance Smart Chain (BSC), que más tarde pasó a llamarse “BNB Smart Chain.” Algunos de los usuarios de la red acudieron en masa a PopcornSwap para depositar liquidez, con la esperanza de beneficiarse de los altos volúmenes de negociación que esperaban que se materializaran en BSC. Pero en lugar de obtener los rendimientos récord que esperaban, perdieron todos los fondos que habían depositado. PopcornSwap era una bifurcación de Pancakeswap, que a su vez era una bifurcación de Sushiswap en Ethereum. Y dio la casualidad de que Sushiswap contenía una función “preUpgrade” que permitía a los desarrolladores aprobarse a sí mismos como gastadores para cada token de proveedor de liquidez (LP), lo que les permitía drenar todos los activos mantenidos por el protocolo.
Entre la 1:26 p.m. y las 5:53 p.m. UTC del 28 de enero de 2021, la dirección 0xFd6042Df3D74ce9959922FeC559d7995F3933c55 de BSC utilizó la función mencionada para drenar criptomonedas por valor de USD 2 millones del protocolo, intercambiándolas todas por la moneda nativa de la red, BNB, en el proceso. Los LP de PopcornSwap lo habían perdido todo. El ataque finalizó a las 5:53 p.m. UTC del 28 de enero, cuando Fake_Phishing7 inició una última transacción intercambiando 250,913 USD Coin (USDC) vinculados a Binance por 5,536 BNB. Esto dejó al estafador con aproximadamente 48,511 BNB, por valor de USD 2 millones en ese momento (y USD 10,8 millones ahora), en su dirección.
Las víctimas piden ayuda a Binance
Tras la estafa, las víctimas crearon el grupo PopcornRugPull en Telegram. Se instaron unos a otros a ponerse en contacto con Binance y denunciar el fraude, pidiendo a Binance que congelara la dirección del estafador antes de que se pudieran retirar los fondos. Algunos usuarios creían que Binance podía congelar la dirección de la billetera privada del estafador. Otros argumentaron que esto era imposible, ya que un exchange centralizado no puede congelar una dirección de billetera privada.
El exchange toma medidas
El 29 de enero de 2021 Binance respondió a una de las víctimas de PopcornSwap. Un usuario que se hace llamar “Richie” publicó una imagen del correo electrónico que recibió. En él, el agente de atención al cliente de Binance afirmaba por error que “la billetera del estafador ha sido congelada”. El agente de atención al cliente instó a Richie y a todos los usuarios de PopcornSwap a ser pacientes “hasta que toda la situación sea resuelta por las autoridades”.
Pero en octubre de 2022, los fondos robados seguían intactos, y todos los intentos de obtener respuesta del servicio de atención al cliente se encontraron con cartas de formulario en las que se pedía a los usuarios que se pusieran en contacto con la policía. Las víctimas de PopcornSwap estaban desconcertadas por la respuesta aparentemente insensible del exchange a las solicitudes de reembolso de los usuarios. Sin embargo, los datos de blockchain muestran que en el momento de estas quejas, Binance no tenía ninguna posesión de los fondos robados, ni estaba afiliada a la entidad que robó el dinero de los usuarios.
Contrariamente a la declaración del representante de atención al cliente de Binance, los datos de BNB Smart Chain muestran que la dirección del estafador no se congeló antes del 6 de octubre de 2022. Por el contrario, los fondos permanecieron en la cuenta del atacante y nunca se depositaron en un exchange centralizado ni se transfirieron a otra red. El estafador no cobró el botín robado y nunca se benefició del ataque. Pero este fracaso se debió a la propia falta de iniciativa del estafador, no a ninguna acción de congelación llevada a cabo por Binance.
La congelación del 6 de octubre de 2022
El 6 de octubre de 2022, en un ataque completamente ajeno a la estafa PopcornSwap, el puente BSC Token Hub fue explotado por más de USD 570 millones. El explotador utilizó una laguna dentro del código del puente para emitir 2 millones de BNB en Smart Chain sin depositarlos primero en el lado Beacon Chain del puente. Esto significó que el suministro total de BNB aumentó en 2 millones en BSC.
El atacante envió inmediatamente a otras redes BNB por valor de USD 100 millones, lo que puso los fondos fuera del alcance de los validadores de BSC. En respuesta, los desarrolladores de BSC propusieron una bifurcación dura de la red que cerraría el puente y congelaría la dirección del atacante. Mientras elaboraban esta propuesta, el equipo también incluyó una línea en el código que congelaba la dirección del estafador de PopcornSwap.
Esta actualización fue aprobada por unanimidad por todos los validadores de la BNB Chain. Como resultado, tanto la dirección del explotador del puente como la del estafador de PopcornSwap quedaron inhabilitadas para realizar transacciones salientes después del 6 de octubre de 2022. Sin embargo, la nueva propuesta no incluía un código para transferir los fondos congelados a otra dirección. Las víctimas afirman que Binance podría haber hecho más para mitigar el incidente.
11/ On a positive note, it’s worth noting that Binance did freeze the wallet and BNB when a significant hack occurred, which is a positive step. However, the subsequent silence and lack of communication regarding the frozen BNB raise concerns. We deserve answers.
— neonmatrixbox (@neonmatrixbox) June 26, 2023
11/ En una nota positiva, vale la pena señalar que Binance congeló la billetera y BNB cuando ocurrió un hackeo importante, lo cual es un paso positivo. Sin embargo, el silencio posterior y la falta de comunicación sobre el BNB congelado generan preocupación. Merecemos respuestas.
Binance responde
En una conversación con Cointelegraph el 31 de agosto, un representante de Binance confirmó que la propuesta del 6 de octubre de 2022 de congelar la dirección 0xFd6042Df3D74ce9959922FeC559d7995F3933c55, también conocida como “Fake_Phishing7”, fue realizada por Binance. El representante también confirmó que se trataba de una mera propuesta, que no podía aplicarse sin el consentimiento de los validadores. En este caso, la propuesta fue acordada por unanimidad por todos los validadores de la red. Así lo declararon:
“A petición de las víctimas de PopcornSwap, Binance propuso incluir la dirección del atacante en una lista negra junto a la del atacante de BNB Bridge en octubre de 2022, que fue presentada por el equipo de BNB Chain y aprobada por los validadores de la red.”
Binance también confirmó, de acuerdo con los datos de blockchain, que los fondos nunca pasaron a posesión de Binance. “Podemos confirmar que el estafador no transfirió fondos a Binance, y no tenemos control sobre los fondos”, declararon. “BNB Chain es un ecosistema descentralizado y de código abierto; las billeteras y/o sus fondos no pueden ser congelados a voluntad [y] las decisiones de gobierno son coordinadas por la comunidad”.
Binance afirmó que la investigación no se ha cerrado, y que el exchange está dispuesto a cumplir con la policía si puede ser de ayuda. “Este caso sigue bajo investigación, y nuestro equipo de investigaciones está siempre dispuesto a apoyar a las fuerzas del orden en la persecución de los responsables”, declaró.
La estafa de Pocornswap: un cuento con moraleja
Las víctimas de la estafa PopcornSwap perdieron más de USD 2 millones de su dinero duramente ganado como resultado de la misma. Al ver que Binance era el desarrollador de BNB Smart Chain, acudieron a él en busca de ayuda. El exchange se negó a ayudar alegando la naturaleza descentralizada de las cadenas de bloques. Sin embargo, posteriormente Binance dio marcha atrás y congeló la dirección privada del estafador con el acuerdo de los validadores de la BNB Chain.
La estafa de PopcornSwap también sirve como advertencia sobre los riesgos de utilizar contratos inteligentes. Si un contrato inteligente contiene una laguna que permite a un atacante drenar los fondos de los usuarios, las víctimas se enfrentarán a una ardua lucha para conseguir el reembolso de los validadores una vez completado el ataque, ya que las bifurcaciones de una cadena de bloques requieren esencialmente el consentimiento unánime para ser implementadas. Tal es la naturaleza de las cadenas de bloques. Además, tenga en cuenta que a pesar de sus afirmaciones descentralizadas, las entidades pueden, de hecho, ejercer control sobre los activos de los usuarios si lo desean.
Zhiyuan Sun, redactor de Cointelegraph, ha contribuido a este artículo.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión