A $ 5 Milliounen Hack vum Ankr Protokoll op Dezember 1 gouf vun engem fréiere Teammember verursaacht, laut enger Dezember 20 Ukënnegung vum Ankr Team.
Den Ex-Employé huet eng "Versuergungskettenattack" duerchgefouert zouléisst béiswëlleg Code an e Package vun zukünfteg Updates fir d'intern Software vum Team. Wann dës Software aktualiséiert gouf, huet de béisaarteg Code eng Sécherheetsschwaachheet erstallt, déi den Ugräifer erlaabt huet den Deployerschlëssel vum Team vum Server vun der Firma ze klauen.
No Action Report: Eis Erkenntnisser vum aBNBc Token Exploit
Mir hunn just en neie Blogpost verëffentlecht deen am-Déift iwwer dëst geet: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) Dezember 20, 2022
Virdrun huet d'Equipe ugekënnegt datt den Ausbeutung war verursaacht duerch e geklauten Deployer Schlëssel dat gouf benotzt fir de Protokoll seng Smart Kontrakter ze upgrade. Mä deemools hate si nach net erkläert wéi den Deployeurschlëssel geklaut gouf.
Den Ankr huet lokal Autoritéiten alarméiert a probéiert den Ugräifer viru Geriicht ze bréngen. Et probéiert och seng Sécherheetspraktiken z'ënnerstëtzen fir den Zougang zu senge Schlësselen an Zukunft ze schützen.
Upgradeable Kontrakter wéi déi, déi an Ankr benotzt ginn, vertrauen op d'Konzept vun engem "Propriétaire Kont" deen eenzeg Autoritéit huet maachen Upgrades, laut engem OpenZeppelin Tutorial zum Thema. Wéinst dem Gefor vum Déifstall transferéieren déi meescht Entwéckler d'Besëtzer vun dëse Kontrakter op e Gnosis Safe oder aner Multisignature Kont. D'Ankr Team sot datt et an der Vergaangenheet kee Multisig Kont fir Besëtzer benotzt huet, awer wäert dat vun elo un maachen, seet:
"Den Ausbeutung war deelweis méiglech well et en eenzege Punkt vum Echec an eisem Entwécklerschlëssel war. Mir wäerten elo Multi-Sig Authentifikatioun fir Aktualiséierungen ëmsetzen, déi Ënnerschrëft vun all Schlësseldepoter während Zäitbeschränkten Intervalle erfuerderen, wat en zukünftege Attack vun dësem Typ extrem schwéier mécht wann net onméiglech. Dës Feature verbesseren d'Sécherheet fir den neien ankrBNB Kontrakt an all Ankr Tokens.
Ankr huet och versprach fir mënschlech Ressourcepraktiken ze verbesseren. Et wäert "eskaléiert" Hannergrondchecken fir all Mataarbechter erfuerderen, och déi, déi op afstand schaffen, an et wäert Zougangsrechter iwwerpréiwen fir sécherzestellen datt sensibel Donnéeën nëmme vun Aarbechter zougänglech sinn déi se brauchen. D'Firma wäert och nei Notifikatiounssystemer implementéieren fir d'Team méi séier ze alarméieren wann eppes falsch geet.
Den Ankr Protokoll Hack gouf fir d'éischt entdeckt op Dezember 1. Et huet den Ugräifer erlaabt 20 Billioun Ankr Belounung Bearing Staked BNB (aBNBc) ze mintéieren, déi direkt op dezentraliséierten Austausch fir ongeféier $ 5 Milliounen an USD Coin ausgetauscht gouf (USDC) an iwwerbréckt op Ethereum. D'Team huet uginn datt et plangt seng aBNBb an aBNBc Tokens un d'Benotzer, déi vum Exploit betraff sinn, nei auszeginn an $ 5 Millioune vu sengem eegene Schatzkammer auszeginn fir sécherzestellen datt dës nei Tokens voll ënnerstëtzt ginn.
Den Entwéckler huet och $ 15 Milliounen ofgesat repeg der HAY stablecoin, déi wéinst dem Exploit ënnercolateraliséiert gouf.
Quell: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security