Хакване на протокола Ankr за 5 милиона долара на 1 декември е причинено от бивш член на екипа, според съобщение от екипа на Ankr от 20 декември.
Бившият служител извърши „атака срещу веригата за доставки“ от пускането зловреден код в пакет от бъдещи актуализации на вътрешния софтуер на екипа. След като този софтуер беше актуализиран, злонамереният код създаде уязвимост в сигурността, която позволи на атакуващия да открадне ключа за внедряване на екипа от сървъра на компанията.
Доклад след действие: Нашите открития от експлойта на aBNBc Token
Току-що пуснахме нова публикация в блога, която е в дълбочина за това: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) Декември 20, 2022
Преди това екипът обяви, че експлойтът е бил причинено от откраднат ключ за разгръщане който беше използван за надграждане на интелигентните договори на протокола. Но по това време те не бяха обяснили как е бил откраднат ключът за внедряване.
Ankr е предупредил местните власти и се опитва да изправи нападателя пред правосъдието. Освен това се опитва да укрепи практиките си за сигурност, за да защити достъпа до своите ключове в бъдеще.
Надграждащи се договори като тези, използвани в Ankr, разчитат на концепцията за „акаунт на собственик“, който има единствените правомощия да правя надстройки, според урок на OpenZeppelin по темата. Поради риска от кражба повечето разработчици прехвърлят собствеността върху тези договори на сейф на gnosis или друг акаунт с множество подписи. Екипът на Ankr каза, че не е използвал multisig акаунт за собственост в миналото, но ще го направи отсега нататък, заявявайки:
„Експлойтът беше възможен отчасти защото имаше една точка на повреда в нашия ключ за разработчици. Сега ще внедрим мултисиг удостоверяване за актуализации, които ще изискват подписване от всички ключови попечители през ограничени във времето интервали, което прави бъдеща атака от този тип изключително трудна, ако не и невъзможна. Тези функции ще подобрят сигурността за новия договор на ankrBNB и всички токени на Ankr.“
Ankr също обеща да подобри практиките за човешки ресурси. Той ще изисква „ескалирани“ фонови проверки за всички служители, дори тези, които работят дистанционно, и ще преглежда правата за достъп, за да се увери, че чувствителните данни могат да бъдат достъпни само от работници, които се нуждаят от тях. Компанията също така ще внедри нови системи за уведомяване, за да предупреди екипа по-бързо, когато нещо се обърка.
Хакването на протокола Ankr беше открит за първи път на 1 декември. Това позволи на атакуващия да изсече 20 трилиона Ankr Reward Bearing Staked BNB (aBNBc), които веднага бяха разменени на децентрализирани борси за около $5 милиона в USD Coin (USDC) и свързан към Ethereum. Екипът заяви, че планира да преиздаде своите токени aBNBb и aBNBc за потребители, засегнати от експлойта, и да похарчи 5 милиона долара от собствената си хазна, за да гарантира, че тези нови токени са напълно обезпечени.
Разработчикът също е разположил 15 милиона долара за повторете стабилната монета HAY, което стана недостатъчно обезпечено поради експлоатацията.
Източник: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security