آنکر می گوید که کارمند سابق باعث سوء استفاده 5 میلیون دلاری شده و قول داده است امنیت را بهبود بخشد

این تیم به مقامات مربوطه هشدار داده است و در تلاش است تا ضمن حمایت از اقدامات امنیتی، مهاجم را تحت تعقیب قرار دهد.

طبق اعلام تیم Ankr در 20 دسامبر، حمله 5 میلیون دلاری به پروتکل Ankr در 1 دسامبر توسط یکی از اعضای سابق تیم انجام شد.

کارمند سابق یک “حمله زنجیره تامین” را با قرار دادن کدهای مخرب در بسته ای از به روز رسانی های آتی نرم افزار داخلی تیم انجام داد. پس از به روز رسانی این نرم افزار، کد مخرب آسیب پذیری ایجاد کرد که به مهاجم اجازه می داد کلید توزیع تیم را از سرور شرکت بدزدد.

پس از گزارش اقدام: یافته های ما از سوء استفاده از توکن aBNBc

ما یک پست وبلاگ جدید منتشر کردیم که این موضوع را به طور عمیق پوشش می دهد: https://t.co/fyagjhODNG

آ pic.twitter.com/d6psUbpxNY

– Ankr Staking (@ankrstaking) 20 دسامبر 2022

پیش از این، تیم اعلام کرده بود که این اکسپلویت ناشی از یک کلید توزیع سرقت شده است که برای ارتقای قراردادهای هوشمند پروتکل استفاده شده است. با این حال، آنها توضیح ندادند که چگونه کلید استقرار در آن زمان به سرقت رفته است.

آنکر به مقامات محلی هشدار داده است و در تلاش است تا مهاجم را به دست عدالت بسپارد. همچنین در تلاش است تا شیوه های امنیتی خود را برای محافظت از دسترسی به کلیدهای خود در آینده تقویت کند.

با توجه به آموزش OpenZeppelin در مورد این موضوع، قراردادهای قابل ارتقا مانند قراردادهایی که در Ankr استفاده می‌شوند، بر اساس مفهوم “حساب مالک” با حق ارتقاء هستند. به دلیل خطر سرقت، اکثر توسعه‌دهندگان مالکیت این قراردادها را به یک gnosis vault یا سایر حساب‌های multisig منتقل می‌کنند. تیم Ankr بیان می‌کند که در گذشته از حساب‌های Multisig برای مالکیت استفاده نمی‌کردند، اما از این به بعد از آن استفاده خواهند کرد:

“این اکسپلویت تا حدی ممکن بود زیرا یک نقطه شکست در کلید توسعه‌دهنده ما وجود داشت. ما اکنون احراز هویت چند امضایی را برای به‌روزرسانی‌هایی پیاده‌سازی می‌کنیم که نیاز به خروج از همه اصول کلیدی در فواصل زمانی محدود دارد و این نوع حمله را ایجاد می‌کند. در آینده بسیار دشوار است، اگر نگوییم غیرممکن. این ویژگی‌ها امنیت قرارداد جدید ankrBNB و همه توکن‌های Ankr را بهبود می‌بخشد.

آنکر همچنین قول داد که شیوه های منابع انسانی را بهبود بخشد. برای همه کارمندان، از جمله آنهایی که از راه دور کار می کنند، به بررسی پیشینه «افزایش» نیاز دارد و حقوق دسترسی را بررسی می کند تا مطمئن شود فقط کارمندانی که به آن نیاز دارند می توانند به داده های حساس دسترسی داشته باشند. این شرکت همچنین سیستم‌های اعلان جدیدی را پیاده‌سازی خواهد کرد تا در صورت بروز مشکل سریع‌تر به تیم هشدار دهد.

هک پروتکل Ankr اولین بار در 1 دسامبر کشف شد. این به مهاجم اجازه می داد 20 تریلیون Ankr Bet BNB (aBNBc) ضرب کند. این تیم اعلام کرد که قصد دارد توکن‌های aBNBb و aBNBc را برای کاربرانی که تحت تأثیر این اکسپلویت قرار گرفته‌اند دوباره منتشر کند و ۵ میلیون دلار از خزانه خود خرج کند تا اطمینان حاصل شود که این توکن‌های جدید به طور کامل پشتیبانی می‌شوند.

سازنده همچنین 15 میلیون دلار را برای انتشار مجدد استیبل کوین HAY که به دلیل سوءاستفاده از وثیقه‌گذاری ناکافی تبدیل شده بود، هزینه کرد.

نویسنده: Tom Blackstone