Ett hack på 5 miljoner dollar av Ankr-protokollet den 1 december orsakades av en tidigare lagmedlem, enligt ett meddelande från Ankr-teamet den 20 december.
Den före detta anställde genomförde en "supply chain attack" av sätta skadlig kod till ett paket med framtida uppdateringar av teamets interna programvara. När den här programvaran uppdaterades skapade den skadliga koden en säkerhetsrisk som gjorde att angriparen kunde stjäla teamets deployer-nyckel från företagets server.
After Action Report: Våra resultat från aBNBc Token Exploit
Vi har precis släppt ett nytt blogginlägg som går på djupet om detta: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) December 20, 2022
Tidigare hade teamet meddelat att exploateringen var orsakad av en stulen deployer-nyckel som användes för att uppgradera protokollets smarta kontrakt. Men vid tillfället hade de inte förklarat hur deployer-nyckeln hade stulits.
Ankr har larmat lokala myndigheter och försöker få angriparen ställd inför rätta. Det försöker också stärka sina säkerhetsrutiner för att skydda åtkomsten till sina nycklar i framtiden.
Uppgraderbara kontrakt som de som används i Ankr bygger på konceptet med ett "ägarkonto" som har ensam behörighet att göra uppgraderingar, enligt en OpenZeppelin-handledning om ämnet. På grund av risken för stöld överför de flesta utvecklare äganderätten till dessa kontrakt till ett gnosis kassaskåp eller annat multisignaturkonto. Ankr-teamet sa att det inte använde ett multisig-konto för ägande tidigare men kommer att göra det från och med nu, med angivande av:
"Utnyttjandet var möjligt delvis på grund av att det fanns en enda punkt av fel i vår utvecklarnyckel. Vi kommer nu att implementera multi-sig-autentisering för uppdateringar som kommer att kräva signoff från alla nyckelvårdare under tidsbegränsade intervall, vilket gör en framtida attack av denna typ extremt svår för att inte säga omöjlig. Dessa funktioner kommer att förbättra säkerheten för det nya ankrBNB-kontraktet och alla Ankr-tokens."
Ankr har också lovat att förbättra metoderna för mänskliga resurser. Det kommer att kräva "eskalerade" bakgrundskontroller för alla anställda, även de som arbetar på distans, och det kommer att granska åtkomsträttigheter för att säkerställa att känsliga uppgifter endast kan nås av arbetare som behöver det. Företaget kommer också att implementera nya aviseringssystem för att varna teamet snabbare när något går fel.
Ankr-protokollet hack upptäcktes först den 1 december. Det gjorde det möjligt för angriparen att slå 20 biljoner Ankr Reward Bearing Staked BNB (aBNBc), som omedelbart byttes ut på decentraliserade börser för cirka 5 miljoner USD i USD Coin (USDC) och överbryggas till Ethereum. Teamet har uppgett att de planerar att återutge sina aBNBb- och aBNBc-tokens till användare som drabbats av exploateringen och att spendera 5 miljoner dollar från sin egen skattkammare för att säkerställa att dessa nya tokens är fullt uppbackade.
Utvecklaren har också distribuerat 15 miljoner dollar till repeg HAY stablecoin, som blev underpantat på grund av exploateringen.
Källa: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security