Fimm milljón dala hakk á Ankr samskiptareglur 5. desember var af völdum fyrrverandi liðsmanns, samkvæmt tilkynningu frá Ankr liðinu 1. desember.
Fyrrverandi starfsmaður gerði „birgðakeðjuárás“ af setja illgjarn kóða í pakka af framtíðaruppfærslum á innri hugbúnaði liðsins. Þegar þessi hugbúnaður var uppfærður skapaði illgjarn kóðinn öryggisveikleika sem gerði árásarmanninum kleift að stela dreifingarlykli liðsins af netþjóni fyrirtækisins.
Eftir aðgerðaskýrslu: Niðurstöður okkar frá aBNBc Token nýtingu
Við gáfum út nýja bloggfærslu sem fer ítarlega um þetta: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) Desember 20, 2022
Áður hafði liðið tilkynnt að arðránið væri af völdum stolins dreifingarlykli sem var notað til að uppfæra snjalla samninga samskiptareglunnar. En á þeim tíma höfðu þeir ekki útskýrt hvernig afgreiðslulyklinum hefði verið stolið.
Ankr hefur gert sveitarfélögum viðvart og er að reyna að fá árásarmanninn fyrir rétt. Það er einnig að reyna að styrkja öryggisvenjur sínar til að vernda aðgang að lyklum sínum í framtíðinni.
Uppfæranlegir samningar eins og þeir sem notaðir eru í Ankr byggja á hugmyndinni um „eigandareikning“ sem hefur eina heimild til að gera uppfærslur, samkvæmt OpenZeppelin kennsluefni um efnið. Vegna hættu á þjófnaði, flytja flestir verktaki eignarhald þessara samninga yfir á gnosis öryggishólf eða annan multisignature reikning. Ankr teymið sagði að það hafi ekki notað multisig reikning fyrir eignarhald í fortíðinni en mun gera það héðan í frá, þar sem fram kemur:
„Hreyfingin var möguleg að hluta til vegna þess að það var einn bilunarpunktur í þróunarlyklinum okkar. Við munum nú innleiða multi-sig auðkenningu fyrir uppfærslur sem munu krefjast afskráningar frá öllum lykilvörsluaðilum á tímabundnu millibili, sem gerir framtíðarárás af þessari gerð afar erfiða ef ekki ómöguleg. Þessir eiginleikar munu bæta öryggi fyrir nýja ankrBNB samninginn og öll Ankr tákn.
Ankr hefur einnig heitið því að bæta starfshætti mannauðs. Það mun krefjast „stigvaxandi“ bakgrunnsathugana fyrir alla starfsmenn, jafnvel þá sem vinna í fjarvinnu, og það mun endurskoða aðgangsrétt til að tryggja að viðkvæm gögn séu aðeins aðgengileg fyrir starfsmenn sem þurfa á þeim að halda. Fyrirtækið mun einnig innleiða ný tilkynningakerfi til að gera teymið hraðar viðvart þegar eitthvað fer úrskeiðis.
Ankr samskiptareglur hakkið var fyrst uppgötvað 1. desember. Það gerði árásarmanninum kleift að slá inn 20 trilljón Ankr Reward Bearing Staked BNB (aBNBc), sem var strax skipt á dreifðum kauphöllum fyrir um $5 milljónir í USD Coin (USDC) og brúað til Ethereum. Liðið hefur lýst því yfir að það ætli að endurútgefa aBNBb og aBNBc tákn sín til notenda sem verða fyrir áhrifum af misnotkuninni og eyða 5 milljónum dala úr eigin ríkissjóði til að tryggja að þessi nýju tákn séu að fullu studd.
Framkvæmdaraðilinn hefur einnig sent $15 milljónir til repeg HAY stablecoin, sem varð undirveðsett vegna hagnýtingar.
Heimild: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security