Ankr говорит, что бывший сотрудник вызвал эксплойт на 5 миллионов долларов, и обещает улучшить безопасность

Новости

Взлом протокола Ankr на сумму 5 миллионов долларов 1 декабря был совершен бывшим членом команды, согласно объявлению команды Ankr от 20 декабря.

Бывший сотрудник провел «атаку на цепочку поставок», поместив вредоносный код в пакет будущих обновлений внутреннего программного обеспечения команды. После обновления этого программного обеспечения вредоносный код создал уязвимость в системе безопасности, которая позволила злоумышленнику украсть ключ развертывания команды с сервера компании.

https://platform.twitter.com/widgets.js

Ранее команда объявила, что эксплойт был вызван украденным ключом развертывания, который использовался для обновления смарт-контрактов протокола. Но в то время они не объяснили, как был украден ключ развертывания.

Анкр предупредил местные власти и пытается привлечь нападавшего к ответственности. Он также пытается укрепить свои методы безопасности, чтобы защитить доступ к своим ключам в будущем.

Обновляемые контракты, подобные тем, которые используются в Ankr, основаны на концепции «учетной записи владельца», которая имеет исключительные полномочия на выполнение обновлений, согласно учебному пособию OpenZeppelin по этому вопросу. Из-за риска кражи большинство разработчиков передают право собственности на эти контракты на безопасный gnosis или другую учетную запись с мультиподписью. Команда Ankr говорит, что в прошлом она не использовала учетную запись с мультиподписью для владения, но будет делать это с этого момента, заявив:

«Эксплойт стал возможен отчасти потому, что в нашем ключе разработчика была единственная точка отказа. Теперь мы будем реализовывать аутентификацию с несколькими подписями для обновлений, которые потребуют выхода от всех хранителей ключей в течение ограниченных по времени интервалов, что делает будущие атаки такого типа чрезвычайно трудными, если не невозможными. Эти функции повысят безопасность нового контракта ankrBNB и всех токенов Ankr».

Ankr также пообещал улучшить практику управления персоналом. Он потребует «расширенных» проверок биографических данных для всех сотрудников, даже тех, кто работает удаленно, и будет проверять права доступа, чтобы убедиться, что доступ к конфиденциальным данным может быть получен только теми работниками, которые в них нуждаются. Компания также внедрит новые системы уведомлений, чтобы быстрее оповещать команду, когда что-то пойдет не так.

Взлом протокола Ankr был впервые обнаружен 1 декабря. Он позволил злоумышленнику добыть 20 триллионов BNB с вознаграждением Ankr (aBNBc), которые были немедленно обменены на децентрализованных биржах примерно на 5 миллионов долларов США (USDC) и подключены к Ethereum. Команда заявила, что планирует перевыпустить свои токены aBNBb и aBNBc для пользователей, пострадавших от эксплойта, и потратить 5 миллионов долларов из собственной казны, чтобы обеспечить полную поддержку этих новых токенов.

Разработчик также вложил 15 миллионов долларов в обмен на стабильную монету HAY, которая стала недостаточно обеспеченной из-за эксплойта.

Источник
Оцените автора
CryptoHamster.org
Добавить комментарий