פריצה של 5 מיליון דולר לפרוטוקול Ankr ב-1 בדצמבר נגרמה על ידי חבר צוות לשעבר, על פי הודעת צוות Ankr ב-20 בדצמבר.
העובד לשעבר ערך "מתקפת שרשרת אספקה" על ידי לשים קוד זדוני לתוך חבילת עדכונים עתידיים לתוכנה הפנימית של הצוות. לאחר עדכון התוכנה הזו, הקוד הזדוני יצר פגיעות אבטחה שאפשרה לתוקף לגנוב את מפתח הפריסה של הצוות משרת החברה.
דוח לאחר פעולה: הממצאים שלנו מניצול אסימון aBNBc
זה עתה פרסמנו פוסט חדש בבלוג שמעמיק בנושא: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) דצמבר 20, 2022
בעבר, הצוות הודיע כי הניצול היה נגרם על ידי מפתח פריסה גנוב ששימש לשדרוג החוזים החכמים של הפרוטוקול. אבל באותו זמן, הם לא הסבירו כיצד נגנב מפתח המפיסה.
אנקר הזעיקה את הרשויות המקומיות ומנסה להביא את התוקף לדין. היא גם מנסה לחזק את נוהלי האבטחה שלה כדי להגן על הגישה למפתחות שלה בעתיד.
חוזים ניתנים לשדרוג כמו אלה המשמשים ב-Ankr מסתמכים על הרעיון של "חשבון בעלים" שיש לו סמכות בלעדית לעשות שדרוגים, על פי הדרכה של OpenZeppelin בנושא. בגלל הסיכון לגניבה, רוב המפתחים מעבירים את הבעלות על חוזים אלה לכספת של gnosis או לחשבון ריבוי חתימות אחר. צוות Ankr אמר שהוא לא השתמש בחשבון מולטיסיג לבעלות בעבר, אך יעשה זאת מעתה והלאה, בהצהרה:
"הניצול היה אפשרי בין השאר בגלל שהייתה נקודת כשל אחת במפתח המפתחים שלנו. כעת ניישם אימות מולטי-sig עבור עדכונים שידרשו חתימה מכל האפוטרופוסים המרכזיים במרווחי זמן מוגבלים, מה שהופך מתקפה עתידית מסוג זה לקשה ביותר אם לא בלתי אפשרית. תכונות אלו ישפרו את האבטחה עבור חוזה ankrBNB החדש וכל אסימוני Ankr."
Ankr גם נשבע לשפר את שיטות המשאב האנושי. זה ידרוש בדיקות רקע "הסלמות" עבור כל העובדים, אפילו אלה שעובדים מרחוק, והוא יבדוק את זכויות הגישה כדי לוודא שניתן לגשת לנתונים רגישים רק לעובדים הזקוקים להם. החברה גם תטמיע מערכות התראות חדשות כדי להתריע מהר יותר לצוות כאשר משהו משתבש.
פריצת פרוטוקול Ankr התגלה לראשונה ב-1 בדצמבר זה אפשר לתוקף להטביע 20 טריליון Ankr Reward Bearing Staked BNB (aBNBc), שהוחלף מיד בבורסות מבוזרות תמורת כ-5 מיליון דולר במטבעות דולרים (דולר ארה"ב) ומגושר לאתריום. הצוות הצהיר שהוא מתכנן להנפיק מחדש את אסימוני ה-aBNBb וה-aBNBc שלו למשתמשים שנפגעו מהניצול ולהוציא 5 מיליון דולר מהאוצר שלו כדי להבטיח שהאסימונים החדשים הללו יגובו במלואם.
היזם גם פרס 15 מיליון דולר ל לשחזר את ה-HAY stablecoin, שהפך לחסר בטחונות עקב הניצול.
מקור: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security