Gruodžio 5 d., remiantis Ankr komandos pranešimu, Ankr protokolas buvo nulaužtas 1 mln. JAV dolerių.
Buvęs darbuotojas surengė „tiekimo grandinės ataką“. išleisti kenkėjišką kodą į būsimų komandos vidinės programinės įrangos naujinimų paketą. Kai ši programinė įranga buvo atnaujinta, kenkėjiškas kodas sukūrė saugos pažeidžiamumą, kuris leido užpuolikui pavogti komandos diegimo raktą iš įmonės serverio.
Ataskaita po veiksmų: mūsų išvados iš aBNBc žetonų išnaudojimo
Ką tik išleidome naują tinklaraščio įrašą, kuriame išsamiai aprašoma: https://t.co/fyagjhODNG
– Ankr Staking (@ankrstaking) Gruodis 20, 2022
Anksčiau komanda skelbė, kad išnaudojimas buvo sukėlė pavogtas diegimo raktas kuris buvo naudojamas protokolo išmaniosioms sutartims atnaujinti. Tačiau tuo metu jie nepaaiškino, kaip buvo pavogtas diegimo raktas.
Ankr perspėjo vietos valdžios institucijas ir bando patraukti užpuoliką atsakomybėn. Ji taip pat bando sustiprinti savo saugumo praktiką, kad ateityje apsaugotų prieigą prie savo raktų.
Atnaujinamos sutartys, pvz., naudojamos Ankr, remiasi „savininko paskyros“, kuri turi išimtinę teisę padaryti atnaujinimai, remiantis OpenZeppelin mokymo programa šia tema. Dėl vagystės pavojaus dauguma kūrėjų perduoda šių sutarčių nuosavybės teisę į saugų gnosis arba kitą kelių parašų paskyrą. Ankr komanda teigė, kad anksčiau nenaudojo multisig paskyros nuosavybės teise, bet tai darys nuo šiol, nurodydama:
„Išnaudojimas buvo įmanomas iš dalies dėl to, kad mūsų kūrėjo rakte buvo vienas gedimo taškas. Dabar įdiegsime kelių ženklų autentifikavimą naujinimams, kuriems reikės prisijungti iš visų pagrindinių saugotojų riboto laiko intervalais, todėl ateityje tokio tipo ataka bus ypač sudėtinga, o gal net neįmanoma. Šios funkcijos pagerins naujos ankrBNB sutarties ir visų Ankr žetonų saugumą.
Ankr taip pat pažadėjo tobulinti žmogiškųjų išteklių praktiką. Reikės „eskaluoti“ visų darbuotojų, net ir tų, kurie dirba nuotoliniu būdu, asmens duomenų patikrinimą, taip pat peržiūrės prieigos teises, kad įsitikintų, jog slaptus duomenis gali pasiekti tik darbuotojai, kuriems jų reikia. Bendrovė taip pat įdiegs naujas pranešimų sistemas, kad greičiau įspėtų komandą, kai kas nors negerai.
Ankr protokolo įsilaužimas pirmą kartą buvo atrastas gruodžio 1 d. Tai leido užpuolikui nukaldinti 20 trilijonų Ankr Reward Bearing Staked BNB (aBNBc), kuris decentralizuotose biržose buvo nedelsiant iškeistas į maždaug 5 mln. USD USD monetų (USDC) ir prijungtas prie Ethereum. Komanda pareiškė, kad ji planuoja pakartotinai išleisti savo aBNBb ir aBNBc žetonus vartotojams, kuriuos paveikė išnaudojimas, ir išleisti 5 mln. USD iš savo iždo, kad užtikrintų, jog šie nauji žetonai būtų visiškai paremti.
Kūrėjas taip pat įdėjo 15 mln repeg HAY stabili moneta, kuri dėl išnaudojimo tapo nepakankamai užtikrinta.
Šaltinis: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security