5 желтоқсандағы Ankr командасының хабарламасына сәйкес, 1 желтоқсанда Ankr хаттамасының 20 миллион долларды бұзуына команданың бұрынғы мүшесі себеп болды.
Бұрынғы қызметкер «жеткізу тізбегі шабуылын» жүргізді қою зиянды кодты команданың ішкі бағдарламалық жасақтамасына болашақ жаңартулар пакетіне енгізіңіз. Бұл бағдарламалық құрал жаңартылғаннан кейін, зиянды код шабуылдаушыға компания серверінен топтың орналастырушы кілтін ұрлауға мүмкіндік беретін қауіпсіздік осалдығын жасады.
Әрекеттен кейінгі есеп: aBNBc таңбалауыш эксплойтінің нәтижелері
Біз бұл туралы тереңдетілген жаңа блог жазбасын шығардық: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) Желтоқсан 20, 2022
Бұған дейін команда бұл эксплуатация екенін жариялаған болатын ұрланған орналастырушы кілтінен туындаған ол протоколдың смарт келісімшарттарын жаңарту үшін пайдаланылды. Бірақ ол кезде олар орналастырушы кілтінің қалай ұрланғанын түсіндірмеді.
Анкр жергілікті билікке хабар беріп, шабуылдаушыны жауапқа тартуға тырысуда. Сондай-ақ ол болашақта кілттеріне қол жеткізуді қорғау үшін қауіпсіздік тәжірибесін жақсартуға тырысады.
Ankr-да қолданылатындар сияқты жаңартылатын келісім-шарттар жалғыз өкілеттігі бар «иелік шот» тұжырымдамасына сүйенеді. жасау тақырып бойынша OpenZeppelin оқулығына сәйкес жаңартулар. Ұрлық қаупіне байланысты әзірлеушілердің көпшілігі осы келісім-шарттардың иелігін gnosis сейфіне немесе басқа көп қолтаңбалы тіркелгіге ауыстырады. Ankr командасы бұрын меншік үшін мультисиг тіркелгісін пайдаланбағанын, бірақ қазірден бастап солай істейтінін айтты:
«Қолдану ішінара мүмкін болды, себебі біздің әзірлеуші кілтінде бір сәтсіздік нүктесі болды. Біз енді жаңартулар үшін көп таңбалы аутентификацияны енгіземіз, бұл уақыт шектелген аралықтарда барлық негізгі кастодиандардан қол қоюды талап етеді, бұл мүмкін емес болмаса, осы түрдегі болашақ шабуылды өте қиын етеді. Бұл мүмкіндіктер жаңа ankrBNB келісімшартының және барлық Ankr токендерінің қауіпсіздігін жақсартады.
Ankr сонымен қатар адами ресурстар тәжірибесін жақсартуға уәде берді. Ол барлық қызметкерлер үшін, тіпті қашықтан жұмыс істейтіндер үшін де «жоғарлатылған» фондық тексерулерді талап етеді және құпия деректерге тек мұқтаж жұмысшылар қол жеткізе алатынына көз жеткізу үшін кіру құқықтарын тексереді. Компания сондай-ақ бірдеңе дұрыс болмаған кезде команданы тезірек ескерту үшін жаңа хабарландыру жүйелерін енгізеді.
Ankr протоколын бұзу алғаш ашылды 1 желтоқсанда. Бұл шабуылдаушыға 20 триллион Ankr Reward Bearing Staked BNB (aBNBc) соғуға мүмкіндік берді, ол орталықтандырылмаған биржаларда бірден USD монетасымен шамамен 5 миллион долларға ауыстырылды (USDC) және Ethereum үшін көпір. Команда эксплуатациядан зардап шеккен пайдаланушыларға өзінің aBNBb және aBNBc таңбалауыштарын қайта шығаруды жоспарлап отырғанын және осы жаңа токендердің толық қолдауын қамтамасыз ету үшін өз қазынасынан 5 миллион доллар жұмсауды жоспарлап отырғанын мәлімдеді.
Әзірлеуші сонымен қатар 15 миллион доллар жұмсады HAY стабилкоинін қайталаңыз, ол эксплуатацияға байланысты толық қамтамасыз етілмеген.
Дереккөз: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security