Podle oznámení týmu Ankr z 5. prosince způsobil hacking protokolu Ankr 1 milionů dolarů 20. prosince bývalý člen týmu.
Bývalý zaměstnanec provedl „útok dodavatelského řetězce“ od uvedení škodlivý kód do balíčku budoucích aktualizací interního softwaru týmu. Jakmile byl tento software aktualizován, škodlivý kód vytvořil zranitelnost zabezpečení, která útočníkovi umožnila ukrást klíč nasazení týmu ze serveru společnosti.
Zpráva po akci: Naše zjištění z využívání tokenů aBNBc
Právě jsme vydali nový příspěvek na blogu, který se tímto zabývá podrobně: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) 20. prosince 2022
Předtím tým oznámil, že exploit byl způsobené odcizeným klíčem pro nasazení který byl použit k upgradu inteligentních smluv protokolu. Ale v té době nevysvětlili, jak byl klíč pro nasazení ukraden.
Ankr upozornil místní úřady a pokouší se dostat útočníka před soud. Pokouší se také posílit své bezpečnostní postupy, aby v budoucnu ochránil přístup ke svým klíčům.
Upgradovatelné smlouvy, jako jsou ty používané v Ankr, spoléhají na koncept „účtu vlastníka“, který má výhradní pravomoc činit upgrady, podle výukového programu OpenZeppelin na toto téma. Kvůli riziku krádeže většina vývojářů převádí vlastnictví těchto smluv na trezor gnosis nebo jiný vícepodepsaný účet. Tým Ankr uvedl, že v minulosti nepoužíval k vlastnictví multisig účet, ale bude tak činit od nynějška a uvedl:
„Využití bylo možné částečně proto, že v našem vývojářském klíči byl jediný bod selhání. Nyní zavedeme multi-sig autentizaci pro aktualizace, které budou vyžadovat odhlášení od všech klíčových správců během časově omezených intervalů, takže budoucí útok tohoto typu je extrémně obtížný, ne-li nemožný. Tyto funkce zlepší zabezpečení nové smlouvy ankrBNB a všech tokenů Ankr.“
Ankr také slíbil, že zlepší postupy v oblasti lidských zdrojů. Bude vyžadovat „eskalované“ kontroly na pozadí všech zaměstnanců, dokonce i těch, kteří pracují na dálku, a přezkoumá přístupová práva, aby se zajistilo, že k citlivým údajům budou mít přístup pouze pracovníci, kteří je potřebují. Společnost také zavede nové oznamovací systémy, které tým rychleji upozorní, když se něco pokazí.
Hack protokolu Ankr byl poprvé objeven 1. prosince. Útočníkovi to umožnilo vyrazit 20 bilionů Ankr Reward Bearing Staked BNB (aBNBc), které byly okamžitě směněny na decentralizovaných burzách za přibližně 5 milionů USD v USD Coin (USDC) a přemostění do Etherea. Tým uvedl, že plánuje znovu vydat své tokeny aBNBb a aBNBc uživatelům postiženým exploitem a utratit 5 milionů dolarů ze své vlastní pokladny, aby zajistil, že tyto nové tokeny budou plně podporovány.
Vývojář také nasadil 15 milionů dolarů regulovat stablecoin HAY, který se stal podzajištěním kvůli exploitu.
Zdroj: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security