Një hakim prej 5 milionë dollarësh i protokollit Ankr më 1 dhjetor u shkaktua nga një ish-anëtar i ekipit, sipas një njoftimi të 20 dhjetorit nga ekipi Ankr.
Ish-punonjësi kreu një "sulm me zinxhir furnizimi" nga duke kod me qëllim të keq në një paketë përditësimesh të ardhshme të softuerit të brendshëm të ekipit. Pasi u përditësua ky softuer, kodi me qëllim të keq krijoi një dobësi sigurie që i lejoi sulmuesit të vidhte çelësin e vendosësit të ekipit nga serveri i kompanisë.
Raporti pas Veprimit: Gjetjet tona nga Shfrytëzimi i Tokenit aBNBc
Sapo kemi lëshuar një postim të ri në blog që flet në thellësi për këtë: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) Dhjetor 20, 2022
Më parë, ekipi kishte njoftuar se shfrytëzimi ishte shkaktuar nga një çelës i vjedhur i vendosësit që u përdor për të përmirësuar kontratat inteligjente të protokollit. Por në atë kohë, ata nuk kishin shpjeguar se si ishte vjedhur çelësi i vendosësit.
Ankr ka alarmuar autoritetet lokale dhe po përpiqet të sjellë para drejtësisë sulmuesin. Ajo po përpiqet gjithashtu të forcojë praktikat e saj të sigurisë për të mbrojtur aksesin në çelësat e saj në të ardhmen.
Kontratat e azhurnueshme si ato të përdorura në Ankr mbështeten në konceptin e një "llogarie pronari" që ka autoritetin e vetëm për të bërë përmirësimet, sipas një tutoriali OpenZeppelin mbi këtë temë. Për shkak të rrezikut të vjedhjes, shumica e zhvilluesve transferojnë pronësinë e këtyre kontratave në një gnosis safe ose një llogari tjetër me shumë nënshkrime. Ekipi Ankr tha se nuk ka përdorur një llogari multisig për pronësi në të kaluarën, por do ta bëjë këtë tani e tutje, duke deklaruar:
“Shfrytëzimi ishte i mundur pjesërisht sepse kishte një pikë të vetme dështimi në çelësin tonë të zhvilluesit. Tani do të zbatojmë vërtetimin me shumë shenja për përditësimet që do të kërkojnë sinjalizimin nga të gjithë kujdestarët kryesorë gjatë intervaleve të kufizuara kohore, duke e bërë një sulm të ardhshëm të këtij lloji jashtëzakonisht të vështirë, nëse jo të pamundur. Këto veçori do të përmirësojnë sigurinë për kontratën e re ankrBNB dhe të gjitha shenjat Ankr.”
Ankr gjithashtu është zotuar të përmirësojë praktikat e burimeve njerëzore. Ai do të kërkojë kontrolle "të përshkallëzuara" të sfondit për të gjithë punonjësit, madje edhe ata që punojnë në distancë, dhe do të rishikojë të drejtat e aksesit për t'u siguruar që të dhënat e ndjeshme mund të aksesohen vetëm nga punëtorët që kanë nevojë për to. Kompania do të zbatojë gjithashtu sisteme të reja njoftimi për të njoftuar ekipin më shpejt kur diçka nuk shkon.
Hakimi i protokollit Ankr u zbulua për herë të parë më 1 dhjetor. Ai i lejoi sulmuesit të prodhonte 20 trilionë Ankr Rewarding Bearing Staked BNB (aBNBc), e cila u këmbye menjëherë në shkëmbimet e decentralizuara për rreth 5 milionë dollarë në monedhë USD (USDC) dhe u lidh me Ethereum. Ekipi ka deklaruar se planifikon të ribotojë argumentet e tij aBNBb dhe aBNBc për përdoruesit e prekur nga shfrytëzimi dhe të shpenzojë 5 milionë dollarë nga thesari i tij për të siguruar që këto tokena të rinj të mbështeten plotësisht.
Zhvilluesi ka shpërndarë gjithashtu 15 milionë dollarë për të repeg stablecoin HAY, e cila u bë e nënkolateralizuar për shkak të shfrytëzimit.
Burimi: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security