Vdor v protokol Ankr za 5 milijonov dolarjev 1. decembra je povzročil nekdanji član ekipe, glede na objavo ekipe Ankr z dne 20. decembra.
Nekdanji zaposleni je izvedel "napad na dobavno verigo" s strani dajanje zlonamerno kodo v paket prihodnjih posodobitev interne programske opreme ekipe. Ko je bila ta programska oprema posodobljena, je zlonamerna koda ustvarila varnostno ranljivost, ki je napadalcu omogočila krajo ključa ekipe za uvajanje iz strežnika podjetja.
Poročilo o akciji: naše ugotovitve izkoriščanja žetona aBNBc
Pravkar smo objavili novo objavo v spletnem dnevniku, ki podrobno opisuje to: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) December 20, 2022
Prej je ekipa napovedala, da je izkoriščanje povzročil ukraden ključ za namestitev ki je bil uporabljen za nadgradnjo pametnih pogodb protokola. Toda takrat še niso pojasnili, kako je bil ukraden ključ za namestitev.
Ankr je obvestil lokalne oblasti in poskuša napadalca privesti pred sodišče. Prav tako poskuša okrepiti svoje varnostne prakse za zaščito dostopa do svojih ključev v prihodnosti.
Nadgradljive pogodbe, kot so tiste, ki se uporabljajo v Ankrju, temeljijo na konceptu »lastniškega računa«, ki ima edino pooblastilo za Znamka nadgradnje, glede na vadnico OpenZeppelin o tej temi. Zaradi nevarnosti kraje večina razvijalcev prenese lastništvo teh pogodb na sef gnosis ali drug račun z več podpisi. Ekipa Ankr je povedala, da v preteklosti ni uporabljala računa multisig za lastništvo, vendar bo to počela od zdaj naprej, in navedla:
»Izkoriščanje je bilo mogoče delno zato, ker je bila v našem razvijalskem ključu ena sama točka napake. Zdaj bomo uvedli preverjanje pristnosti z več podpisi za posodobitve, ki bodo zahtevale odjavo vseh skrbnikov ključev v časovno omejenih intervalih, zaradi česar je prihodnji napad te vrste izjemno težak, če ne nemogoč. Te funkcije bodo izboljšale varnost za novo pogodbo ankrBNB in vse žetone Ankr.”
Ankr je tudi obljubil, da bo izboljšal prakse človeških virov. Za vse zaposlene, tudi za tiste, ki delajo na daljavo, bo zahteval "stopnjeno" preverjanje ozadja, pregledal pa bo tudi pravice dostopa, da bi zagotovil, da lahko do občutljivih podatkov dostopajo le delavci, ki jih potrebujejo. Podjetje bo uvedlo tudi nove sisteme obveščanja, da bodo ekipo hitreje opozorili, ko gre kaj narobe.
Vdor v protokol Ankr je bil prvič odkrit 1. decembra. Napadalcu je omogočila kovanje 20 bilijonov Ankr Reward Bearing Staked BNB (aBNBc), ki je bilo takoj zamenjano na decentraliziranih borzah za okoli 5 milijonov USD v kovancih USD (USDC) in premostiti z Ethereumom. Ekipa je izjavila, da namerava ponovno izdati svoja žetona aBNBb in aBNBc za uporabnike, ki jih je prizadela izkoriščanje, in porabiti 5 milijonov dolarjev iz lastne zakladnice, da bi zagotovili, da so ti novi žetoni v celoti podprti.
Razvijalec je namenil tudi 15 milijonov dolarjev za ponovite stabilni coin HAY, ki je zaradi eksploata postala premalo zavarovana.
Vir: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security