بر اساس اعلامیه 20 دسامبر تیم Ankr، هک 5 میلیون دلاری پروتکل Ankr در 1 دسامبر توسط یکی از اعضای سابق تیم انجام شد.

کارمند سابق یک “حمله زنجیره تامین” توسط قرار دادن کدهای مخرب در بسته ای از به روز رسانی های بعدی نرم افزار داخلی تیم. هنگامی که این نرم افزار به روز شد، کد مخرب یک آسیب پذیری امنیتی ایجاد کرد که به مهاجم اجازه می داد کلید توسعه دهنده تیم را از سرور شرکت بدزدد.

پیش از این، تیم اعلام کرده بود که این اکسپلویت بوده است ناشی از سرقت کلید توزیع کننده که برای ارتقای قراردادهای هوشمند پروتکل استفاده شده بود. اما در آن زمان توضیح نداده بودند که چگونه کلید توزیع کننده دزدیده شده است.

آنکر به مقامات محلی هشدار داده است و در تلاش است تا مهاجم را به دست عدالت بسپارد. همچنین در تلاش است تا شیوه های امنیتی خود را برای محافظت از دسترسی به کلیدهای خود در آینده تقویت کند.

قراردادهای قابل ارتقا مانند قراردادهای مورد استفاده در Ankr بر مفهوم “حساب مالک” تکیه دارند که انحصاراً اختیار دارد ساختن با توجه به آموزش OpenZeppelin در مورد این موضوع، ارتقا دهید. به دلیل خطر سرقت، اکثر توسعه‌دهندگان مالکیت این قراردادها را به یک gnosis safe یا سایر حساب‌های multisig منتقل می‌کنند. تیم Ankr می‌گوید که در گذشته از یک حساب multisig برای مالکیت استفاده نمی‌کرد اما از این به بعد این کار را انجام خواهد داد و بیان کرد:

این اکسپلویت تا حدی امکان پذیر بود زیرا یک نقطه شکست در کلید توسعه دهنده ما وجود داشت. ما اکنون احراز هویت چند علامتی را برای به‌روزرسانی‌هایی اجرا می‌کنیم که در فواصل زمانی محدود به علامت‌گذاری از همه متولیان کلیدی نیاز دارند، که حمله آینده از این نوع را بسیار دشوار می‌کند، اگر نگوییم غیرممکن است. این ویژگی‌ها امنیت قرارداد جدید ankrBNB و همه توکن‌های Ankr را بهبود می‌بخشد.

آنکر همچنین قول داده است که شیوه های منابع انسانی را بهبود بخشد. برای همه کارمندان، حتی کارکنانی که از راه دور کار می کنند، به بررسی پیشینه «تشدید» نیاز دارد و حقوق دسترسی را بررسی می کند تا مطمئن شود که داده های حساس فقط توسط کارگرانی که به آن نیاز دارند قابل دسترسی است. این شرکت همچنین سیستم های نوتیفیکیشن جدیدی را اجرا خواهد کرد تا در صورت بروز مشکل سریعتر به تیم هشدار دهد.

هک پروتکل Ankr برای اولین بار کشف شد در 1 دسامبر. این به مهاجم اجازه داد تا 20 تریلیون Ankr Reward Bearing Staked BNB (aBNBc) را ضرب کند که بلافاصله در صرافی های غیرمتمرکز با حدود 5 میلیون دلار سکه مبادله شد.USDC) و به اتریوم پل زد. این تیم اعلام کرده است که قصد دارد توکن‌های aBNBb و aBNBc خود را مجدداً برای کاربرانی که تحت تأثیر سوء استفاده قرار گرفته‌اند منتشر کند و برای اطمینان از پشتیبانی کامل این توکن‌های جدید، ۵ میلیون دلار از خزانه خود هزینه کند.

توسعه دهنده همچنین 15 میلیون دلار برای آن اختصاص داده است repeg stablecoin HAY، که به دلیل بهره برداری کم وثیقه شد.



دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *