O violare de 5 milioane de dolari a protocolului Ankr la 1 decembrie a fost cauzată de un fost membru al echipei, potrivit unui anunț din 20 decembrie al echipei Ankr.
Fostul angajat a condus un „atac al lanțului de aprovizionare” de către punând cod rău intenționat într-un pachet de actualizări viitoare ale software-ului intern al echipei. Odată ce acest software a fost actualizat, codul rău intenționat a creat o vulnerabilitate de securitate care a permis atacatorului să fure cheia de implementare a echipei de pe serverul companiei.
Raport după acțiune: constatările noastre de la aBNBc Token Exploit
Tocmai am lansat o nouă postare pe blog care detaliază acest lucru: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) December 20, 2022
Anterior, echipa anunțase că exploit a fost cauzat de o cheie furată de deployer care a fost folosit pentru a actualiza contractele inteligente ale protocolului. Dar la momentul respectiv, ei nu explicaseră cum fusese furată cheia deployerului.
Ankr a alertat autoritățile locale și încearcă să-l aducă pe atacator în fața justiției. De asemenea, încearcă să-și consolideze practicile de securitate pentru a proteja accesul la cheile sale în viitor.
Contractele care pot fi actualizate precum cele utilizate în Ankr se bazează pe conceptul de „cont de proprietar” care are autoritatea unică de a face upgrade-uri, conform unui tutorial OpenZeppelin pe acest subiect. Din cauza riscului de furt, majoritatea dezvoltatorilor transferă dreptul de proprietate asupra acestor contracte către un seif gnosis sau alt cont cu semnături multiple. Echipa Ankr a spus că nu a folosit un cont multisig pentru proprietate în trecut, dar o va face de acum înainte, declarând:
„Exploatarea a fost posibilă parțial pentru că a existat un singur punct de eșec în cheia noastră de dezvoltator. Vom implementa acum autentificarea multi-sig pentru actualizări care vor necesita aprobarea tuturor custodelor cheie în intervale de timp limitate, făcând un atac viitor de acest tip extrem de dificil, dacă nu imposibil. Aceste caracteristici vor îmbunătăți securitatea pentru noul contract ankrBNB și pentru toate jetoanele Ankr.”
Ankr a promis, de asemenea, că va îmbunătăți practicile privind resursele umane. Va necesita verificări „escalate” de antecedente pentru toți angajații, chiar și pentru cei care lucrează de la distanță, și va revizui drepturile de acces pentru a se asigura că datele sensibile pot fi accesate numai de lucrătorii care au nevoie de ele. De asemenea, compania va implementa noi sisteme de notificare pentru a alerta echipa mai rapid atunci când ceva nu merge bine.
Hackul protocolului Ankr a fost descoperit pentru prima dată pe 1 decembrie. I-a permis atacatorului să bată 20 de trilioane Ankr Reward Bearing Staked BNB (aBNBc), care a fost schimbat imediat pe schimburi descentralizate pentru aproximativ 5 milioane USD în monede USD (USDC) și legat de Ethereum. Echipa a declarat că intenționează să-și emită din nou jetoanele aBNBb și aBNBc utilizatorilor afectați de exploit și să cheltuiască 5 milioane de dolari din propria trezorerie pentru a se asigura că aceste noi token-uri sunt susținute în totalitate.
Dezvoltatorul a alocat, de asemenea, 15 milioane de dolari pentru repeg stablecoin-ul HAY, care a devenit subcolateralizat din cauza exploitului.
Sursa: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security