Ankr-tiimin 5. joulukuuta antaman ilmoituksen mukaan Ankr-protokollan 1 miljoonan dollarin hakkerointi 20. joulukuuta johtui entisen tiimin jäsenen toimesta.
Entinen työntekijä teki "toimitusketjuhyökkäyksen". laskemisesta haitallinen koodi tulevaisuuden päivityspaketiksi tiimin sisäiseen ohjelmistoon. Kun tämä ohjelmisto oli päivitetty, haitallinen koodi loi tietoturvahaavoittuvuuden, jonka ansiosta hyökkääjä saattoi varastaa joukkueen käyttöönottoavaimen yrityksen palvelimelta.
Toiminnan jälkeinen raportti: Havaintomme aBNBc Token Exploitista
Julkaisimme juuri uuden blogikirjoituksen, joka käsittelee tätä perusteellisesti: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) Joulukuu 20, 2022
Aiemmin ryhmä oli ilmoittanut, että hyväksikäyttö oli varastetun käyttöönottoavaimen aiheuttama jota käytettiin protokollan älykkäiden sopimusten päivittämiseen. Mutta tuolloin he eivät olleet selittäneet, kuinka käyttöönottoavain oli varastettu.
Ankr on varoittanut paikallisviranomaisia ja yrittää saada hyökkääjän oikeuden eteen. Se yrittää myös vahvistaa tietoturvakäytäntöjään suojatakseen pääsyn avaimiinsa tulevaisuudessa.
Päivitettävät sopimukset, kuten Ankrissa käytetyt, perustuvat "omistajan tilin" käsitteeseen, jolla on yksinoikeus tehdä päivitykset aihetta käsittelevän OpenZeppelin-opetusohjelman mukaan. Varkausriskin vuoksi useimmat kehittäjät siirtävät näiden sopimusten omistajuuden gnosis safe -tilille tai muulle usean allekirjoituksen tilille. Ankr-tiimi sanoi, että se ei käyttänyt multisig-tiliä omistukseensa aiemmin, mutta tekee niin tästä lähtien ja totesi:
"Hyödyntäminen oli mahdollista osittain siksi, että kehittäjäavaimessamme oli yksi vikakohta. Otamme nyt käyttöön usean signaalin todennuksen päivityksille, jotka edellyttävät kirjautumista kaikilta keskeisiltä ylläpitäjiltä aikarajoitetuin väliajoin, mikä tekee tämäntyyppisestä tulevasta hyökkäyksestä erittäin vaikeaa, ellei mahdotonta. Nämä ominaisuudet parantavat uuden ankrBNB-sopimuksen ja kaikkien Ankr-tokenien turvallisuutta.
Ankr on myös vannonut parantavansa henkilöresurssikäytäntöjä. Se edellyttää "eskaloituja" taustatarkistuksia kaikilta työntekijöiltä, myös etätyöskentelyltä, ja tarkistaa käyttöoikeudet varmistaakseen, että arkaluontoiset tiedot pääsevät käsiksi vain niitä tarvitsevilla työntekijöillä. Yhtiö ottaa käyttöön myös uusia ilmoitusjärjestelmiä, jotka varoittavat tiimiä nopeammin, kun jokin menee pieleen.
Ankr-protokollan hakkerointi löydettiin ensin 1. joulukuuta. Se antoi hyökkääjälle mahdollisuuden lyödä 20 biljoonaa Ankr Reward Bearing Staked BNB:tä (aBNBc), joka vaihdettiin välittömästi hajautetuissa pörsseissä noin 5 miljoonaan dollariin USD-kolikoissa (USDC) ja siltana Ethereumiin. Tiimi on ilmoittanut, että se aikoo julkaista aBNBb- ja aBNBc-tunnuksensa uudelleen käyttäjille, joihin hyväksikäyttö vaikuttaa, ja käyttää 5 miljoonaa dollaria omasta kassastaan varmistaakseen, että nämä uudet tunnukset ovat täysin tuetut.
Kehittäjä on myös käyttänyt 15 miljoonaa dollaria repeg HAY stablecoin, josta tuli alivakuus hyväksikäytön vuoksi.
Lähde: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security