Узлом пратакола Ankr на 5 мільёнаў долараў 1 снежня быў выкліканы былым членам каманды, гаворыцца ў паведамленні каманды Ankr ад 20 снежня.
Экс-супрацоўнік правёў «атаку на ланцужок паставак». пакласці шкоднасны код у пакет будучых абнаўленняў унутранага праграмнага забеспячэння каманды. Пасля таго, як гэта праграмнае забеспячэнне было абноўлена, шкоднасны код стварыў уразлівасць сістэмы бяспекі, якая дазволіла зламысніку скрасці ключ разгортвальніка каманды з сервера кампаніі.
Справаздача аб дзеяннях: нашы вынікі эксплойту токенаў aBNBc
Мы толькі што выпусцілі новую публікацыю ў блогу, якая падрабязна распавядае пра гэта: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) Снежань 20, 2022
Раней каманда абвясціла, што эксплойт быў выкліканы скрадзеным ключом разгортвальніка які выкарыстоўваўся для абнаўлення смарт-кантрактаў пратаколу. Але на той момант яны не патлумачылі, як быў скрадзены ключ разгортвальніка.
Анкр папярэдзіў мясцовыя ўлады і спрабуе прыцягнуць зламысніка да адказнасці. Ён таксама спрабуе ўмацаваць сваю практыку бяспекі, каб абараніць доступ да сваіх ключоў у будучыні.
Кантракты з магчымасцю абнаўлення, такія як тыя, якія выкарыстоўваюцца ў Ankr, абапіраюцца на канцэпцыю «ўліковага запісу ўладальніка», які мае адзіныя паўнамоцтвы рабіць абнаўлення, згодна з падручнікам OpenZeppelin па гэтай тэме. З-за рызыкі крадзяжу большасць распрацоўшчыкаў перадаюць права ўласнасці на гэтыя кантракты ў сейф Gnosis або іншы ўліковы запіс з некалькімі подпісамі. Каманда Ankr заявіла, што ў мінулым яна не выкарыстоўвала ўліковы запіс multisig для валодання, але будзе рабіць гэта з гэтага часу, заявіўшы:
«Эксплойт быў магчымы збольшага таму, што ў нашым ключы распрацоўшчыка была адна кропка збою. Цяпер мы будзем рэалізоўваць шматразовую аўтэнтыфікацыю для абнаўленняў, якія патрабуюць падпіскі ад усіх ключавых захавальнікаў на працягу абмежаваных па часе інтэрвалаў, што зробіць будучую атаку такога тыпу надзвычай складанай, калі не немагчымай. Гэтыя функцыі палепшаць бяспеку новага кантракту ankrBNB і ўсіх токенаў Ankr».
Ankr таксама паабяцаў палепшыць практыку кадравых рэсурсаў. Для ўсіх супрацоўнікаў, нават для тых, хто працуе выдалена, спатрэбіцца «ўзмоцненая» праверка, а таксама будуць прагледжаны правы доступу, каб пераканацца, што доступ да канфідэнцыйных даных могуць мець толькі тыя работнікі, якім яны патрэбныя. Кампанія таксама ўкараніць новыя сістэмы апавяшчэнняў, каб хутчэй папярэдзіць каманду, калі нешта пойдзе не так.
Ўзлом пратаколу ankr быў упершыню адкрыты 1 снежня. Гэта дазволіла зламысніку адчаканіць 20 трыльёнаў Ankr Reward Bearing Staked BNB (aBNBc), якія былі неадкладна абменены на дэцэнтралізаваных біржах прыкладна на 5 мільёнаў долараў у манетах USD (USDC) і падлучаны да Ethereum. Каманда заявіла, што плануе перавыпусціць свае токены aBNBb і aBNBc для карыстальнікаў, якія пацярпелі ад эксплойта, і выдаткаваць 5 мільёнаў долараў са сваёй казны, каб забяспечыць поўную падтрымку гэтых новых токенаў.
Распрацоўшчык таксама выдзеліў 15 мільёнаў долараў repeg стейблкойн HAY, які стаў недастаткова забяспечаным з-за эксплуатацыі.
Крыніца: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security