Saskaņā ar Ankr komandas 5. decembra paziņojumu, Ankr protokola uzlaušanu 1 miljonu ASV dolāru apmērā 20. decembrī izraisīja kāds bijušais komandas dalībnieks.
Bijušais darbinieks veica “piegādes ķēdes uzbrukumu”. liekot ļaunprātīgu kodu turpmāko komandas iekšējās programmatūras atjauninājumu pakotnē. Kad šī programmatūra tika atjaunināta, ļaunprātīgais kods radīja drošības ievainojamību, kas ļāva uzbrucējam no uzņēmuma servera nozagt komandas izvietotāja atslēgu.
Ziņojums pēc darbības: mūsu atklājumi no aBNBc marķiera izmantošanas
Mēs tikko izlaidām jaunu emuāra ziņu, kurā ir padziļināta informācija par šo: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) Decembris 20, 2022
Iepriekš komanda bija paziņojusi, ka ekspluatācija ir bijusi izraisīja nozagta izvietotāja atslēga kas tika izmantots, lai jauninātu protokola viedos līgumus. Taču tajā laikā viņi nebija paskaidrojuši, kā tika nozagta izvietotāja atslēga.
Ankr ir brīdinājis vietējās varas iestādes un mēģina saukt uzbrucēju pie atbildības. Tā arī mēģina nostiprināt savu drošības praksi, lai nākotnē aizsargātu piekļuvi savām atslēgām.
Uzlabojami līgumi, piemēram, Ankr lietotie, balstās uz “īpašnieka konta” jēdzienu, kuram ir vienīgās tiesības padarīt jauninājumi, saskaņā ar OpenZeppelin apmācību par šo tēmu. Zādzības riska dēļ lielākā daļa izstrādātāju nodod īpašumtiesības uz šiem līgumiem uz gnosis safe vai citu vairāku parakstu kontu. Ankr komanda teica, ka tā agrāk neizmantoja multisig kontu īpašumtiesībām, bet to darīs turpmāk, norādot:
“Izmantošana bija iespējama daļēji tāpēc, ka mūsu izstrādātāja atslēgā bija viens kļūmes punkts. Tagad mēs ieviesīsim vairāku zīmju autentifikāciju atjauninājumiem, kuriem laika ierobežotā laikā būs jāpierakstās no visiem galvenajiem pārziņiem, padarot šāda veida uzbrukumu nākotnē ārkārtīgi sarežģītu vai pat neiespējamu. Šīs funkcijas uzlabos drošību jaunajam ankrBNB līgumam un visiem Ankr marķieriem.
Ankr ir arī apņēmies uzlabot cilvēkresursu praksi. Tam būs nepieciešamas “pastiprinātas” pagātnes pārbaudes visiem darbiniekiem, pat tiem, kas strādā attālināti, un tiks pārskatītas piekļuves tiesības, lai pārliecinātos, ka sensitīviem datiem var piekļūt tikai darbinieki, kuriem tie ir nepieciešami. Uzņēmums arī ieviesīs jaunas paziņojumu sistēmas, lai ātrāk brīdinātu komandu, ja kaut kas noiet greizi.
Ankr protokola uzlaušana pirmo reizi tika atklāts 1. decembrī. Tas ļāva uzbrucējam kalt 20 triljonus Ankr Reward Bearing Staked BNB (aBNBc), kas nekavējoties tika apmainīts decentralizētā biržā pret aptuveni 5 miljoniem USD USD monētās (USDC) un savienots ar Ethereum. Komanda ir paziņojusi, ka tā plāno atkārtoti izdot savus aBNBb un aBNBc marķierus lietotājiem, kurus skārusi izmantošana, un iztērēt 5 miljonus ASV dolāru no savas kases, lai nodrošinātu, ka šie jaunie marķieri ir pilnībā nodrošināti.
Izstrādātājs ir arī izvietojis 15 miljonus ASV dolāru repeg HAY stabilu monētu, kas ekspluatācijas dēļ kļuva par nepietiekamu nodrošinājumu.
Avots: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security