Згідно з повідомленням команди Ankr від 5 грудня, 1 грудня злом протоколу Ankr на 20 мільйонів доларів був спричинений колишнім членом команди.
Екс-співробітник здійснив «атаку на ланцюжок поставок». покласти шкідливий код у пакет майбутніх оновлень внутрішнього програмного забезпечення команди. Після оновлення цього програмного забезпечення шкідливий код створив уразливість системи безпеки, яка дозволила зловмиснику викрасти ключ розгортання команди з сервера компанії.
Звіт про дії: наші висновки щодо використання токенів aBNBc
Ми щойно опублікували нову публікацію в блозі, яка детально розповідає про це: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) 20 Грудня, 2022
Раніше команда оголосила, що експлойт був через викрадення ключа розгортача який використовувався для оновлення смарт-контрактів протоколу. Але на той момент вони не пояснили, як було вкрадено ключ розгортача.
Ankr сповістила місцеву владу та намагається притягнути нападника до відповідальності. Він також намагається посилити свої методи безпеки, щоб захистити доступ до своїх ключів у майбутньому.
Контракти з можливістю оновлення, як ті, що використовуються в Ankr, спираються на концепцію «облікового запису власника», який має виключні повноваження зробити оновлень, згідно з посібником OpenZeppelin на цю тему. Через ризик крадіжки більшість розробників передають право власності на ці контракти в сейф Gnosis або інший обліковий запис із кількома підписами. Команда Ankr заявила, що раніше не використовувала обліковий запис multisig для володіння, але відтепер це робитиме, зазначивши:
«Експлойт став можливим частково тому, що в нашому ключі розробника була одна точка збою. Тепер ми запровадимо багатопідписну автентифікацію для оновлень, які вимагатимуть підтвердження від усіх ключових зберігачів протягом обмежених часових інтервалів, що зробить майбутню атаку такого типу надзвичайно складною, якщо не неможливою. Ці функції покращать безпеку нового контракту ankrBNB і всіх токенів Ankr».
Ankr також пообіцяв покращити практику управління людськими ресурсами. Для всіх співробітників, навіть для тих, хто працює віддалено, буде потрібно «посилена» перевірка даних, а також перевірятимуться права доступу, щоб переконатися, що доступ до конфіденційних даних мають лише працівники, яким вони потрібні. Компанія також запровадить нові системи сповіщень, щоб швидше сповіщати команду, коли щось піде не так.
Злом протоколу Ankr був вперше виявлений 1 грудня. Це дозволило зловмиснику викарбувати 20 трильйонів Ankr Reward Bearing Staked BNB (aBNBc), які були негайно обміняні на децентралізованих біржах приблизно на 5 мільйонів доларів США монетами (USDC) і підключено до Ethereum. Команда заявила, що планує перевипустити свої токени aBNBb і aBNBc для користувачів, які постраждали від експлойту, і витратити 5 мільйонів доларів із власної скарбниці, щоб забезпечити повну підтримку цих нових токенів.
Розробник також виділив 15 мільйонів доларів повторити стейблкойн HAY, які стали недостатньо забезпеченими через експлойт.
Джерело: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security