بر اساس اعلامیه 20 دسامبر تیم Ankr، هک 5 میلیون دلاری پروتکل Ankr در 1 دسامبر توسط یکی از اعضای سابق تیم انجام شد.
کارمند سابق یک “حمله زنجیره تامین” توسط قرار دادن کدهای مخرب در بسته ای از به روز رسانی های بعدی نرم افزار داخلی تیم. هنگامی که این نرم افزار به روز شد، کد مخرب یک آسیب پذیری امنیتی ایجاد کرد که به مهاجم اجازه می داد کلید توسعه دهنده تیم را از سرور شرکت بدزدد.
گزارش پس از اقدام: یافته های ما از بهره برداری توکن aBNBc
ما به تازگی یک پست وبلاگ جدید منتشر کرده ایم که به طور عمیق در این مورد توضیح می دهد: https://t.co/fyagjhODNG
– Ankr Staking (@ankrstaking) 20 دسامبر 2022
پیش از این، تیم اعلام کرده بود که این اکسپلویت بوده است ناشی از سرقت کلید توزیع کننده که برای ارتقای قراردادهای هوشمند پروتکل استفاده شده بود. اما در آن زمان توضیح نداده بودند که چگونه کلید توزیع کننده دزدیده شده است.
آنکر به مقامات محلی هشدار داده است و در تلاش است تا مهاجم را به دست عدالت بسپارد. همچنین در تلاش است تا شیوه های امنیتی خود را برای محافظت از دسترسی به کلیدهای خود در آینده تقویت کند.
قراردادهای قابل ارتقا مانند قراردادهای مورد استفاده در Ankr بر مفهوم “حساب مالک” تکیه دارند که انحصاراً اختیار دارد ساختن با توجه به آموزش OpenZeppelin در مورد این موضوع، ارتقا دهید. به دلیل خطر سرقت، اکثر توسعهدهندگان مالکیت این قراردادها را به یک gnosis safe یا سایر حسابهای multisig منتقل میکنند. تیم Ankr میگوید که در گذشته از یک حساب multisig برای مالکیت استفاده نمیکرد اما از این به بعد این کار را انجام خواهد داد و بیان کرد:
این اکسپلویت تا حدی امکان پذیر بود زیرا یک نقطه شکست در کلید توسعه دهنده ما وجود داشت. ما اکنون احراز هویت چند علامتی را برای بهروزرسانیهایی اجرا میکنیم که در فواصل زمانی محدود به علامتگذاری از همه متولیان کلیدی نیاز دارند، که حمله آینده از این نوع را بسیار دشوار میکند، اگر نگوییم غیرممکن است. این ویژگیها امنیت قرارداد جدید ankrBNB و همه توکنهای Ankr را بهبود میبخشد.
آنکر همچنین قول داده است که شیوه های منابع انسانی را بهبود بخشد. برای همه کارمندان، حتی کارکنانی که از راه دور کار می کنند، به بررسی پیشینه «تشدید» نیاز دارد و حقوق دسترسی را بررسی می کند تا مطمئن شود که داده های حساس فقط توسط کارگرانی که به آن نیاز دارند قابل دسترسی است. این شرکت همچنین سیستم های نوتیفیکیشن جدیدی را اجرا خواهد کرد تا در صورت بروز مشکل سریعتر به تیم هشدار دهد.
هک پروتکل Ankr برای اولین بار کشف شد در 1 دسامبر. این به مهاجم اجازه داد تا 20 تریلیون Ankr Reward Bearing Staked BNB (aBNBc) را ضرب کند که بلافاصله در صرافی های غیرمتمرکز با حدود 5 میلیون دلار سکه مبادله شد.USDC) و به اتریوم پل زد. این تیم اعلام کرده است که قصد دارد توکنهای aBNBb و aBNBc خود را مجدداً برای کاربرانی که تحت تأثیر سوء استفاده قرار گرفتهاند منتشر کند و برای اطمینان از پشتیبانی کامل این توکنهای جدید، ۵ میلیون دلار از خزانه خود هزینه کند.
توسعه دهنده همچنین 15 میلیون دلار برای آن اختصاص داده است repeg stablecoin HAY، که به دلیل بهره برداری کم وثیقه شد.