Podľa oznámenia tímu Ankr z 5. decembra hacknutie protokolu Ankr za 1 miliónov dolárov spôsobil 20. decembra bývalý člen tímu.
Bývalý zamestnanec vykonal „útok dodávateľského reťazca“ od uvedenie škodlivý kód do balíka budúcich aktualizácií interného softvéru tímu. Po aktualizácii tohto softvéru vytvoril škodlivý kód bezpečnostnú chybu, ktorá útočníkovi umožnila ukradnúť kľúč nasadenia tímu zo servera spoločnosti.
Správa po akcii: Naše zistenia z využívania tokenov aBNBc
Práve sme vydali nový blogový príspevok, ktorý sa tejto téme venuje podrobnejšie: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) Decembra 20, 2022
Predtým tím oznámil, že exploit bol spôsobené ukradnutým kľúčom nasadenia ktorý sa použil na aktualizáciu inteligentných zmlúv protokolu. V tom čase však nevysvetlili, ako bol kľúč nasadenia ukradnutý.
Ankr zalarmoval miestne úrady a pokúša sa dostať útočníka pred súd. Pokúša sa tiež podporiť svoje bezpečnostné postupy, aby v budúcnosti ochránil prístup k svojim kľúčom.
Upgradovateľné zmluvy, ako sú tie, ktoré sa používajú v Ankr, sa spoliehajú na koncept „účtu vlastníka“, ktorý má výhradnú právomoc činiť upgrady, podľa návodu OpenZeppelin na túto tému. Kvôli riziku krádeže väčšina vývojárov prevádza vlastníctvo týchto zmlúv na trezor gnosis alebo iný účet s viacerými podpismi. Tím Ankr uviedol, že v minulosti nepoužíval multisig účet na vlastníctvo, ale odteraz to bude robiť, pričom uviedol:
„Využitie bolo možné čiastočne preto, že v našom vývojárskom kľúči bol jediný bod zlyhania. Teraz zavedieme viacnásobnú autentifikáciu pre aktualizácie, ktoré si budú vyžadovať odhlásenie od všetkých kľúčových správcov počas časovo obmedzených intervalov, čím sa budúci útok tohto typu stane extrémne zložitým, ak nie nemožným. Tieto funkcie zlepšia bezpečnosť pre novú zmluvu ankrBNB a všetky tokeny Ankr.“
Ankr sa tiež zaviazal zlepšiť postupy v oblasti ľudských zdrojov. Bude vyžadovať „eskalované“ kontroly na pozadí pre všetkých zamestnancov, dokonca aj pre tých, ktorí pracujú na diaľku, a preverí prístupové práva, aby sa zabezpečilo, že k citlivým údajom budú mať prístup iba pracovníci, ktorí to potrebujú. Spoločnosť tiež zavedie nové oznamovacie systémy, aby rýchlejšie upozornila tím, keď sa niečo pokazí.
Hack protokolu Ankr bol prvýkrát objavený 1. decembra. Útočníkovi to umožnilo vyraziť 20 biliónov Ankr Reward Bearing Staked BNB (aBNBc), ktoré boli okamžite vymenené na decentralizovaných burzách za približne 5 miliónov USD v USD (USDC) a premostený do Etherea. Tím uviedol, že plánuje znovu vydať svoje tokeny aBNBb a aBNBc používateľom, ktorých sa zneužitie týka, a minúť 5 miliónov dolárov zo svojej vlastnej pokladnice, aby zabezpečil, že tieto nové tokeny budú plne podporované.
Developer tiež nasadil 15 miliónov dolárov regulovať stabilný coin HAY, ktorý sa stal podkolateralizovaným v dôsledku exploitu.
Zdroj: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security