Penggodaman $5 juta protokol Ankr pada 1 Disember disebabkan oleh bekas ahli pasukan, menurut pengumuman 20 Disember daripada pasukan Ankr.
Bekas pekerja itu melakukan "serangan rantaian bekalan" oleh meletakkan kod berniat jahat ke dalam pakej kemas kini masa hadapan kepada perisian dalaman pasukan. Sebaik sahaja perisian ini dikemas kini, kod berniat jahat mencipta kelemahan keselamatan yang membenarkan penyerang mencuri kunci pengerahan pasukan daripada pelayan syarikat.
Laporan Selepas Tindakan: Penemuan Kami Daripada Eksploitasi Token aBNBc
Kami baru sahaja mengeluarkan catatan blog baharu yang menerangkan secara mendalam tentang perkara ini: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) Disember 20, 2022
Sebelum ini, pasukan itu telah mengumumkan bahawa eksploitasi itu adalah disebabkan oleh kunci pengerahan yang dicuri yang digunakan untuk menaik taraf kontrak pintar protokol. Tetapi pada masa itu, mereka tidak menjelaskan bagaimana kunci pengerahan telah dicuri.
Ankr telah memaklumkan pihak berkuasa tempatan dan cuba membawa penyerang ke muka pengadilan. Ia juga cuba meningkatkan amalan keselamatannya untuk melindungi akses kepada kuncinya pada masa hadapan.
Kontrak boleh dinaik taraf seperti yang digunakan di Ankr bergantung pada konsep "akaun pemilik" yang mempunyai kuasa tunggal untuk membuat naik taraf, mengikut tutorial OpenZeppelin mengenai subjek tersebut. Kerana risiko kecurian, kebanyakan pembangun memindahkan pemilikan kontrak ini kepada akaun selamat gnosis atau akaun berbilang tandatangan yang lain. Pasukan Ankr berkata bahawa ia tidak menggunakan akaun multisig untuk pemilikan pada masa lalu tetapi akan melakukannya mulai sekarang, dengan menyatakan:
“Eksploitasi itu mungkin sebahagiannya kerana terdapat satu titik kegagalan dalam kunci pembangun kami. Kami kini akan melaksanakan pengesahan berbilang sig untuk kemas kini yang memerlukan tanda tutup daripada semua penjaga utama semasa selang masa terhad, menjadikan serangan masa hadapan jenis ini amat sukar jika tidak mustahil. Ciri-ciri ini akan meningkatkan keselamatan untuk kontrak ankrBNB baharu dan semua token Ankr.”
Ankr juga berikrar untuk menambah baik amalan sumber manusia. Ia akan memerlukan pemeriksaan latar belakang yang "meningkat" untuk semua pekerja, walaupun mereka yang bekerja dari jauh, dan ia akan menyemak hak akses untuk memastikan bahawa data sensitif hanya boleh diakses oleh pekerja yang memerlukannya. Syarikat itu juga akan melaksanakan sistem pemberitahuan baharu untuk memberi amaran kepada pasukan dengan lebih cepat apabila berlaku masalah.
Penggodaman protokol Ankr pertama kali ditemui pada 1 Dis. Ia membenarkan penyerang mencetak 20 trilion Ankr Reward Bearing Staked BNB (aBNBc), yang serta-merta ditukar pada pertukaran terdesentralisasi untuk sekitar $5 juta dalam USD Coin (USDC) dan disambungkan ke Ethereum. Pasukan itu telah menyatakan bahawa ia merancang untuk mengeluarkan semula token aBNBb dan aBNBc kepada pengguna yang terjejas oleh eksploitasi dan membelanjakan $5 juta daripada perbendaharaannya sendiri untuk memastikan token baharu ini disokong sepenuhnya.
Pemaju juga telah menggunakan $15 juta untuk repeg stablecoin HAY, yang menjadi terkurang cagaran disebabkan oleh eksploitasi itu.
Sumber: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security