Hakiranje Ankr protokola od 5 miliona dolara 1. decembra izazvao je bivši član tima, prema najavi Ankr tima od 20. decembra.
Bivši zaposlenik je izvršio „napad na lanac snabdijevanja“ od strane stavljanje zlonamjernog koda u paket budućih ažuriranja internog softvera tima. Nakon što je ovaj softver ažuriran, zlonamjerni kod je stvorio sigurnosnu ranjivost koja je omogućila napadaču da ukrade ključ tima za postavljanje sa servera kompanije.
Izvještaj nakon akcije: Naši nalazi iz eksploatacije aBNBc tokena
Upravo smo objavili novi blog post koji detaljno govori o ovome: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) Decembar 20, 2022
Prethodno je tim najavio da je eksploatacija bila uzrokovano ukradenim ključem za postavljanje koji je korišten za nadogradnju pametnih ugovora protokola. Ali u to vrijeme nisu objasnili kako je ukraden ključ deployer-a.
Ankr je upozorio lokalne vlasti i pokušava da privede napadača pravdi. Takođe pokušava da ojača svoje bezbednosne prakse kako bi zaštitio pristup svojim ključevima u budućnosti.
Nadogradivi ugovori poput onih koji se koriste u Ankr oslanjaju se na koncept „vlasničkog računa“ koji ima isključivu ovlast da napraviti nadogradnje, prema OpenZeppelin tutorijalu na tu temu. Zbog rizika od krađe, većina programera prenosi vlasništvo nad ovim ugovorima na Gnosis sef ili drugi račun s više potpisa. Ankr tim je rekao da ranije nije koristio račun sa više potpisa za vlasništvo, ali da će to činiti od sada, navodeći:
“Iskorišćavanje je bilo djelimično moguće zato što je postojala jedna tačka greške u našem ključu programera. Sada ćemo implementirati provjeru autentičnosti s više znakova za ažuriranja koja će zahtijevati potpisivanje od svih ključnih čuvara tokom vremenski ograničenih intervala, čineći budući napad ovog tipa izuzetno teškim ako ne i nemogućim. Ove karakteristike će poboljšati sigurnost za novi ankrBNB ugovor i sve Ankr tokene.”
Ankr je također obećao da će poboljšati praksu ljudskih resursa. Zahtijevat će "eskalirane" provjere pozadine za sve zaposlenike, čak i one koji rade na daljinu, i pregledat će prava pristupa kako bi se osiguralo da osjetljivim podacima mogu pristupiti samo radnici kojima su potrebni. Kompanija će također implementirati nove sisteme obavještavanja kako bi brže upozorila tim kada nešto krene po zlu.
Hak na Ankr protokol je prvi put otkriven 1. decembra. To je omogućilo napadaču da iskuje 20 triliona Ankr Reward Bearing Staked BNB (aBNBc), koji je odmah zamijenjen na decentraliziranim berzama za oko 5 miliona dolara u USD Coin (USDC) i premošćen na Ethereum. Tim je izjavio da planira ponovno izdati svoje aBNBb i aBNBc tokene korisnicima pogođenim eksploatacijom i potrošiti 5 miliona dolara iz vlastitog trezora kako bi osigurao potpunu podršku ovih novih tokena.
Programer je također uložio 15 miliona dolara u repeg stabilnog novca HAY, koji je zbog eksploatacije postao podkolateraliziran.
Izvor: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security