Դեկտեմբերի 5-ին Ankr-ի արձանագրությունը 1 միլիոն դոլար արժողությամբ կոտրելու պատճառ է դարձել թիմի նախկին անդամը, համաձայն Անկր թիմի դեկտեմբերի 20-ի հայտարարության:
Նախկին աշխատակիցը «մատակարարման շղթայական հարձակում» է իրականացրել դնում վնասակար կոդը՝ թիմի ներքին ծրագրաշարի ապագա թարմացումների փաթեթում: Երբ այս ծրագրաշարը թարմացվեց, վնասակար ծածկագիրը ստեղծեց անվտանգության խոցելիություն, որը հարձակվողին թույլ տվեց գողանալ թիմի տեղադրողի բանալին ընկերության սերվերից:
Գործողությունների զեկույցից հետո. Մեր բացահայտումները aBNBc Token Exploit-ից
Մենք հենց նոր թողարկեցինք բլոգի նոր գրառումը, որը մանրամասնում է այս մասին. https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) Դեկտեմբերի 20, 2022
Նախկինում թիմը հայտարարել էր, որ շահագործումը եղել է առաջացել է գողացված բանալիով որն օգտագործվել է արձանագրության խելացի պայմանագրերը թարմացնելու համար: Բայց այն ժամանակ նրանք չէին բացատրել, թե ինչպես են գողացել դիլերային բանալին:
Անկրը ահազանգել է տեղական իշխանություններին և փորձում է հարձակվողին պատասխանատվության ենթարկել: Այն նաև փորձում է ամրապնդել իր անվտանգության պրակտիկան՝ ապագայում իր բանալիների հասանելիությունը պաշտպանելու համար:
Ankr-ում օգտագործվողների նման արդիականացվող պայմանագրերը հիմնված են «սեփականատիրոջ հաշվի» հայեցակարգի վրա, որն ունի միանձնյա լիազորություն. անել բարելավումներ՝ համաձայն թեմայի վերաբերյալ OpenZeppelin ձեռնարկի: Գողության ռիսկի պատճառով ծրագրավորողներից շատերը փոխանցում են այս պայմանագրերի սեփականությունը gnosis safe-ի կամ այլ բազմաստորագրային հաշվին: Ankr թիմն ասաց, որ նախկինում չի օգտագործել multisig հաշիվ սեփականության համար, բայց դա կանի այսուհետ՝ նշելով.
«Շահագործումը հնարավոր էր մասամբ այն պատճառով, որ մեր մշակողի բանալիում կար ձախողման մեկ կետ: Այժմ մենք կիրականացնենք բազմանշանակ նույնականացում թարմացումների համար, որոնք կպահանջեն մուտքագրում բոլոր հիմնական պահառուներից ժամանակային սահմանափակ ընդմիջումներով, ինչը ապագայում այս տեսակի հարձակումը կդարձնի չափազանց դժվար, եթե ոչ անհնար: Այս հատկանիշները կբարելավեն նոր ankrBNB պայմանագրի և բոլոր Ankr նշանների անվտանգությունը»:
Անկրը նաև խոստացել է բարելավել մարդկային ռեսուրսների պրակտիկան: Այն կպահանջի «ընդլայնված» ֆոնային ստուգումներ բոլոր աշխատողների համար, նույնիսկ նրանց, ովքեր աշխատում են հեռակա, և այն կվերանայի մուտքի իրավունքները՝ համոզվելու համար, որ զգայուն տվյալներ կարող են հասանելի լինել միայն այն աշխատողների համար, ովքեր դրա կարիքն ունեն: Ընկերությունը նաև ներդնելու է ծանուցման նոր համակարգեր՝ թիմին ավելի արագ տեղեկացնելու, երբ ինչ-որ բան սխալ է լինում:
Անկր արձանագրության հաքեր առաջին անգամ հայտնաբերվել է դեկտեմբերի 1-ին: Այն հարձակվողին թույլ է տվել հատել 20 տրիլիոն Ankr Reward Bearing Staked BNB (aBNBc), որն անմիջապես փոխանակվել է ապակենտրոնացված բորսաներում մոտ 5 միլիոն ԱՄՆ դոլարով ԱՄՆ դոլարով (ԱՄՆ):USDC) և կամրջվեց դեպի Ethereum: Թիմը հայտարարել է, որ նախատեսում է վերաթողարկել իր aBNBb և aBNBc նշանները շահագործումից տուժած օգտատերերին և 5 միլիոն դոլար ծախսել իր սեփական գանձարանից՝ ապահովելու համար, որ այս նոր նշաններն ամբողջությամբ ապահովված են:
Մշակողը նաև 15 միլիոն դոլար է հատկացրել repeg HAY stablecoin-ը, որը շահագործման պատճառով դարձել է թերապահովված։
Աղբյուր՝ https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security