بر اساس اعلامیه 5 دسامبر تیم Ankr، هک 1 میلیون دلاری پروتکل Ankr در 20 دسامبر توسط یکی از اعضای سابق تیم انجام شد.
کارمند سابق یک "حمله زنجیره تامین" توسط قرار دادن کدهای مخرب در بسته ای از به روز رسانی های بعدی نرم افزار داخلی تیم. هنگامی که این نرم افزار به روز شد، کد مخرب یک آسیب پذیری امنیتی ایجاد کرد که به مهاجم اجازه می داد کلید توسعه دهنده تیم را از سرور شرکت بدزدد.
گزارش پس از اقدام: یافته های ما از بهره برداری توکن aBNBc
ما به تازگی یک پست وبلاگ جدید منتشر کرده ایم که به طور عمیق در این مورد توضیح می دهد: https://t.co/fyagjhODNG
- Ankr Staking (@ankrstaking) دسامبر 20، 2022
پیش از این، تیم اعلام کرده بود که این اکسپلویت بوده است ناشی از سرقت کلید توزیع کننده که برای ارتقاء قراردادهای هوشمند پروتکل استفاده شد. اما در آن زمان توضیح نداده بودند که چگونه کلید توزیع کننده دزدیده شده است.
آنکر به مقامات محلی هشدار داده است و در تلاش است تا مهاجم را به دست عدالت بسپارد. همچنین در تلاش است تا شیوه های امنیتی خود را برای محافظت از دسترسی به کلیدهای خود در آینده تقویت کند.
قراردادهای قابل ارتقا مانند قراردادهای مورد استفاده در Ankr بر مفهوم "حساب مالک" تکیه دارند که انحصاراً اختیار دارد ساخت با توجه به آموزش OpenZeppelin در مورد این موضوع، ارتقا دهید. به دلیل خطر سرقت، اکثر توسعه دهندگان مالکیت این قراردادها را به یک گاوصندوق gnosis یا سایر حساب های چند امضایی منتقل می کنند. تیم Ankr اعلام کرد که در گذشته از یک حساب multisig برای مالکیت استفاده نکرده است اما از این به بعد این کار را انجام خواهد داد و بیان کرد:
این اکسپلویت تا حدی امکان پذیر بود زیرا یک نقطه شکست در کلید توسعه دهنده ما وجود داشت. ما اکنون احراز هویت چند علامتی را برای بهروزرسانیهایی اجرا میکنیم که در فواصل زمانی محدود به علامتگذاری از همه متولیان کلیدی نیاز دارند، و حمله آینده از این نوع را بسیار دشوار میکند، اگر نگوییم غیرممکن. این ویژگیها امنیت قرارداد جدید ankrBNB و همه توکنهای Ankr را بهبود میبخشد.
آنکر همچنین قول داده است که شیوه های منابع انسانی را بهبود بخشد. برای همه کارمندان، حتی آنهایی که از راه دور کار می کنند، به بررسی پیشینه «تشدید» نیاز دارد و حقوق دسترسی را بررسی می کند تا مطمئن شود که داده های حساس فقط توسط کارگرانی که به آن نیاز دارند قابل دسترسی است. این شرکت همچنین سیستمهای اعلان جدیدی را پیادهسازی خواهد کرد تا در صورت بروز مشکل، سریعتر به تیم هشدار دهد.
هک پروتکل Ankr اولین بار کشف شد در 1 دسامبر. این به مهاجم اجازه داد تا 20 تریلیون Ankr Reward Bearing Staked BNB (aBNBc) را ضرب کند، که بلافاصله در صرافی های غیرمتمرکز با حدود 5 میلیون دلار در USD Coin مبادله شد.USDC) و به اتریوم پل شد. این تیم اعلام کرده است که قصد دارد توکنهای aBNBb و aBNBc خود را مجدداً برای کاربرانی که تحت تأثیر سوء استفاده قرار گرفتهاند منتشر کند و برای اطمینان از پشتیبانی کامل این توکنهای جدید، ۵ میلیون دلار از خزانه خود هزینه کند.
توسعه دهنده همچنین 15 میلیون دلار برای آن اختصاص داده است استیبل کوین HAY را رپگ کنید، که به دلیل بهره برداری کم وثیقه شد.
منبع: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security