Un hack da 5 milioni di dollari del protocollo Ankr il 1° dicembre è stato causato da un ex membro del team, secondo un annuncio del 20 dicembre del team Ankr.
L'ex dipendente ha condotto un "attacco alla catena di approvvigionamento" di messa codice dannoso in un pacchetto di futuri aggiornamenti del software interno del team. Una volta che questo software è stato aggiornato, il codice dannoso ha creato una vulnerabilità di sicurezza che ha consentito all'attaccante di rubare la chiave di distribuzione del team dal server dell'azienda.
Rapporto dopo l'azione: i nostri risultati dall'exploit del token aBNBc
Abbiamo appena pubblicato un nuovo post sul blog che approfondisce questo aspetto: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) Dicembre 20, 2022
In precedenza, il team aveva annunciato che l'exploit era causato da una chiave di distribuzione rubata che è stato utilizzato per aggiornare i contratti intelligenti del protocollo. Ma all'epoca non avevano spiegato come fosse stata rubata la chiave del deployer.
Ankr ha allertato le autorità locali e sta tentando di assicurare alla giustizia l'aggressore. Sta anche tentando di rafforzare le sue pratiche di sicurezza per proteggere l'accesso alle sue chiavi in futuro.
I contratti aggiornabili come quelli utilizzati in Ankr si basano sul concetto di un "account proprietario" che ha l'autorità esclusiva per make aggiornamenti, secondo un tutorial di OpenZeppelin sull'argomento. A causa del rischio di furto, la maggior parte degli sviluppatori trasferisce la proprietà di questi contratti a un account Gnosis Safe o ad altri account multifirma. Il team di Ankr ha affermato di non aver utilizzato un account multisig per la proprietà in passato, ma lo farà d'ora in poi, affermando:
"L'exploit è stato possibile in parte perché c'era un singolo punto di errore nella nostra chiave di sviluppo. Ora implementeremo l'autenticazione multi-sig per gli aggiornamenti che richiederanno l'approvazione da parte di tutti i custodi delle chiavi durante intervalli di tempo limitati, rendendo un futuro attacco di questo tipo estremamente difficile se non impossibile. Queste funzionalità miglioreranno la sicurezza del nuovo contratto ankrBNB e di tutti i token Ankr.”
Ankr ha anche promesso di migliorare le pratiche delle risorse umane. Richiederà controlli dei precedenti "intensificati" per tutti i dipendenti, anche quelli che lavorano in remoto, e rivedrà i diritti di accesso per assicurarsi che i dati sensibili siano accessibili solo ai lavoratori che ne hanno bisogno. L'azienda implementerà anche nuovi sistemi di notifica per avvisare il team più rapidamente quando qualcosa va storto.
L'attacco al protocollo Ankr è stato scoperto per la prima volta il 1 dicembre. Ha permesso all'attaccante di coniare 20 trilioni di Ankr Reward Bearing Staked BNB (aBNBc), che sono stati immediatamente scambiati su exchange decentralizzati per circa $ 5 milioni in USD Coin (USDC) e collegato a Ethereum. Il team ha dichiarato che prevede di riemettere i suoi token aBNBb e aBNBc agli utenti interessati dall'exploit e di spendere 5 milioni di dollari dalla propria tesoreria per garantire che questi nuovi token siano completamente supportati.
Lo sviluppatore ha anche distribuito $ 15 milioni a repeg la stablecoin HAY, che è diventato sottocollateralizzato a causa dell'exploit.
Fonte: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security