Пробивање на протоколот Анкр од 5 милиони долари на 1 декември беше предизвикано од поранешен член на тимот, според соопштението на тимот на Анкр од 20 декември.
Поранешниот вработен извршил „напад со синџирот на снабдување“ од ставање злонамерен код во пакет идни ажурирања на внатрешниот софтвер на тимот. Откако овој софтвер беше ажуриран, малициозниот код создаде безбедносна ранливост што му овозможи на напаѓачот да го украде клучот за распоредувач на тимот од серверот на компанијата.
Извештај по акција: Нашите наоди од експлоатацијата на токенот aBNBc
Само што објавивме нова објава на блог кој детално зборува за ова: https://t.co/fyagjhODNG
— Анкр Стакинг (@ankrstaking) Декември 20, 2022
Претходно, тимот објави дека експлоатацијата е предизвикано од украден клуч на распоредувачот што се користеше за надградба на паметните договори на протоколот. Но, во тоа време, тие не објаснија како бил украден клучот на распоредувачот.
Анкр ги предупреди локалните власти и се обидува да го изведе напаѓачот пред лицето на правдата. Исто така, се обидува да ги зајакне своите безбедносни практики за да го заштити пристапот до своите клучеви во иднина.
Договорите што може да се надградат како оние што се користат во Ankr се потпираат на концептот на „сопственичка сметка“ која има единствено овластување да направи надградби, според упатството за OpenZeppelin на оваа тема. Поради ризикот од кражба, повеќето програмери ја пренесуваат сопственоста на овие договори на gnosis сеф или друга сметка со повеќе потписи. Тимот на Анкр рече дека не користел мултисиг сметка за сопственост во минатото, но ќе го прави тоа од сега па натаму, наведувајќи:
„Експлоатацијата беше возможна делумно затоа што имаше една точка на неуспех во нашиот програмерски клуч. Сега ќе имплементираме автентикација со повеќе знаци за ажурирања за кои ќе биде потребно отпишување од сите клучни чувари во временски ограничени интервали, што ќе го направи идниот напад од овој тип исклучително тежок, ако не и невозможен. Овие карактеристики ќе ја подобрат безбедноста за новиот договор ankrBNB и сите Ankr токени“.
Анкр, исто така, вети дека ќе ги подобри практиките на човечки ресурси. Ќе бара „ескалирани“ проверки на заднината за сите вработени, дури и за оние кои работат од далечина, и ќе ги прегледа правата за пристап за да се увери дека до чувствителните податоци може да пристапат само работниците на кои им се потребни. Компанијата исто така ќе имплементира нови системи за известување за побрзо да го извести тимот кога нешто тргне наопаку.
Хакирање на протоколот Анкр првпат беше откриена на 1 декември. Тоа му овозможи на напаѓачот да кова 20 трилиони Ankr Rewarding Bearing Staked BNB (aBNBc), кои веднаш беа заменети на децентрализирана размена за околу 5 милиони долари во монета во УСД (USDC) и се премости со Ethereum. Тимот изјави дека планира повторно да ги издаде своите aBNBb и aBNBc токени на корисниците погодени од експлоатацијата и да потроши 5 милиони долари од сопствената ризница за да се осигура дека овие нови токени се целосно поддржани.
Инвеститорот исто така распореди 15 милиони долари за repeg на HAY stablecoin, кој стана недоволно колатерализиран поради експлоатацијата.
Извор: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security