„Blockchain“ RPC tiekėjas „Ankr“ paskelbė galutinį pomirtinį savo gruodžio 1 d. ataką
1 m. gruodžio 2022 d. buvo užpultas blokų grandinės RPC tiekėjas Ankr: kažkas sugebėjo pasiekti komandos raktų porą ir manipuliavo aBNBc žaidėjų žetono kaina. Štai ką komanda žino iki šiol ir kaip planuoja atsigauti po puolimo.
Štai kaip Ankr sušvelnino ataką
Pagal Ataskaita po veiksmų: mūsų išvados iš aBNBc žetonų išnaudojimo pareiškimas Ankr komanda, jos aBNBc žetono ataką inicijavo buvęs komandos narys.
Nuo aBNBc išnaudojimo praėjo daugiau nei savaitė.
Nuo tada mes be perstojo dirbame, kad atsigautume po incidento. Kaip komanda iki šiol esame nuveikę daug dalykų.
Tinklaraščio straipsnis: https://t.co/KoJdk4Mrha.
- Ankr (@ankr) Gruodis 14, 2022
Kai buvo atliktas teisėtas atnaujinimas, užpuolikas įleido kenkėjišką kodą, kad pakenktų privačiam Ankr raktui. Komanda teigia, kad bendradarbiauja su teisėsaugos institucijomis ir patrauks užpuoliką atsakomybėn.
„Ankr“ inžinieriai nedelsdami įspėjo visus įjungimo ir išjungimo rampas apie avarines priemones ir atnaujino išmaniąsias sutartis, siekdami užtikrinti, kad nebūtų daugiau klastojimo. Tada komanda rado visus paveiktus vartotojus ir išsiuntė jiems specialiai sukurtą ankrBNB kompensacijos žetoną.
Kompensacija ankrBNB buvo pervesta paveiktiems aBNBc arba aBNBb žetonų turėtojams. Taip pat komanda ištaisė žalą Helio statymo platformai ir stabilizavo HAY žetono kainą. Buvo paskelbta tolesnė kompensavimo programa labiausiai nukentėjusiems nuo išpuolio.
Ankr skelbia didžiulį tobulinimo planą
Kad tokios atakos nepasikartotų, Ankr ketina įdiegti ir suaktyvinti daugybę patobulinimų. Visų pirma, bus patobulinta protokolo atnaujinimo procedūra: komanda naudos kelių ženklų autorizaciją ir laiko žymą visiems naujinimams, aktyvuotiems mainnete.
Ankr komanda taip pat kuria naują vidaus saugumo priemonių protokolą: bus peržiūrėtos visos su Ankr dirbančių asmenų prieigos teisės. Taip pat Ankr atstovai įdiegs naujas stebėjimo ir pranešimų sistemas savo klientams ir bendruomenei.
Galiausiai komanda ketina persvarstyti Ankr ir trečiųjų šalių DeFi protokolų sąveikos standartus.
Kaip anksčiau rašė U.Today, Ankr eksploatuotojas sugebėjo pavogti ir atsiimti daugiau nei 5 mln. USD vertės Binance Coin (BNB) ekvivalentą dėl manipuliavimo turto kainomis Ankr sukauptoje ekosistemoje.
Šaltinis: https://u.today/ankr-confirms-its-exploit-was-inside-job-shares-recovery-plan