Hakiranje protokola Ankr od 5 milijuna dolara 1. prosinca izazvao je bivši član tima, prema objavi Ankr tima od 20. prosinca.
Bivši zaposlenik izveo je "napad na lanac opskrbe" od strane stavljanje zlonamjernog koda u paket budućih ažuriranja internog softvera tima. Nakon što je ovaj softver ažuriran, zlonamjerni kod stvorio je sigurnosnu ranjivost koja je omogućila napadaču da ukrade timski ključ za implementaciju s poslužitelja tvrtke.
Izvješće nakon akcije: Naša otkrića iz iskorištavanja tokena aBNBc
Upravo smo objavili novi post na blogu koji detaljno govori o ovome: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) Prosinac 20, 2022
Prethodno je tim objavio da je iskorištavanje uzrokovan ukradenim ključem programa koji je korišten za nadogradnju pametnih ugovora protokola. Ali u to vrijeme nisu objasnili kako je ukraden ključ deployera.
Ankr je obavijestio lokalne vlasti i pokušava privesti napadača pravdi. Također pokušava ojačati svoje sigurnosne prakse kako bi zaštitio pristup svojim ključevima u budućnosti.
Nadogradivi ugovori poput onih koji se koriste u Ankr-u oslanjaju se na koncept "vlasničkog računa" koji ima isključivu ovlast napraviti nadogradnje, prema vodiču OpenZeppelin o toj temi. Zbog rizika od krađe, većina programera prenosi vlasništvo nad tim ugovorima na gnosis sef ili drugi račun s više potpisa. Ankr tim rekao je da u prošlosti nije koristio multisig račun za vlasništvo, ali će to činiti od sada, navodeći:
“Exploit je djelomično moguć jer je postojala jedna točka kvara u našem razvojnom ključu. Sada ćemo implementirati multi-sig autentifikaciju za ažuriranja koja će zahtijevati prijavu od svih ključnih skrbnika tijekom vremenski ograničenih intervala, čineći budući napad ove vrste iznimno teškim ako ne i nemogućim. Ove će značajke poboljšati sigurnost za novi ankrBNB ugovor i sve Ankr tokene.”
Ankr je također obećao poboljšati praksu ljudskih resursa. Zahtijevat će "eskalirane" provjere pozadine za sve zaposlenike, čak i one koji rade na daljinu, te će pregledati prava pristupa kako bi se osiguralo da osjetljivim podacima mogu pristupiti samo radnici kojima su potrebni. Tvrtka će također implementirati nove sustave obavijesti kako bi brže upozorila tim kada nešto pođe po zlu.
Hakiranje protokola Ankr je prvi put otkriven 1. prosinca. To je omogućilo napadaču da iskuje 20 trilijuna Ankr Reward Bearing Staked BNB (aBNBc), koji je odmah zamijenjen na decentraliziranim burzama za oko 5 milijuna dolara u USD Coin (USDC) i premošten na Ethereum. Tim je izjavio da planira ponovno izdati svoje aBNBb i aBNBc tokene korisnicima koji su pogođeni iskorištavanjem i potrošiti 5 milijuna dolara iz vlastite riznice kako bi osigurao da ovi novi tokeni imaju punu potporu.
Programer je također uložio 15 milijuna dolara u repeg HAY stablecoin, koji je zbog iskorištavanja postao nedovoljno osiguran.
Izvor: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security