انکر می‌گوید که کارمند سابق باعث سوءاستفاده ۵ میلیون دلاری شده است و قول می‌دهد امنیت را بهبود بخشد

این تیم به مقامات مربوطه هشدار می دهد و مهاجمان را تحت تعقیب قرار می دهد و همچنین اقدامات امنیتی را افزایش می دهد.

طبق اعلامیه ۲۰ دسامبر تیم Ankr، هک ۵ میلیون دلاری پروتکل Ankr در ۱ دسامبر توسط یکی از اعضای سابق تیم انجام شده است.

یک کارمند سابق با تزریق کد مخرب به بسته‌ای از به‌روزرسانی‌های آتی نرم‌افزار داخلی تیم، «حمله زنجیره تأمین» را انجام داد. هنگامی که این نرم افزار به روز شد، کد مخرب یک آسیب پذیری امنیتی ایجاد کرد که به مهاجم اجازه می داد کلید توسعه دهنده تیم را از سرورهای شرکت بدزدد.

گزارش پس از اقدام: یافته‌های aBNBc Token Exploit

من یک پست وبلاگ جدید منتشر کرده ام که جزئیات آن را توضیح می دهد: https://t.co/fyagjhODNG

آ pic.twitter.com/d6psUbpxNY

– Ankr Staking (@ankrstaking) ۲۰ دسامبر ۲۰۲۲

این تیم قبلاً این سوء استفاده را به یک کلید توزیع کننده سرقت شده نسبت داده بود که برای ارتقای قراردادهای هوشمند پروتکل استفاده می شد. اما در آن زمان توضیحی ندادند که چگونه کلید توزیع کننده دزدیده شده است.

آنکر در تلاش است تا به مقامات محلی هشدار دهد و مهاجمان را به دست عدالت بسپارد. ما همچنین به دنبال تقویت شیوه های امنیتی خود برای محافظت از دسترسی به کلیدهای خود در آینده هستیم.

طبق آموزش OpenZeppelin، قراردادهای قابل ارتقا مانند قراردادهای مورد استفاده در Ankr بر مفهوم “حساب مالک” تکیه می کنند که انحصاراً دارای اختیار برای ارتقاء هستند. به دلیل خطر سرقت، اکثر توسعه‌دهندگان مالکیت این قراردادها را به حساب‌های gnosis safe یا دیگر حساب‌های چندسایگ منتقل می‌کنند. تیم Ankr گفت که قبلاً هرگز از یک حساب multisig استفاده نکرده و مالک آن بوده است، اما قصد دارد در آینده این کار را انجام دهد.

این اکسپلویت به این دلیل امکان پذیر بود که کلید توسعه دهنده تنها یک نقطه شکست داشت. و این حملات آینده از این نوع را بسیار دشوار می کند، اگر نگوییم غیرممکن. این ویژگی ها امنیت قرارداد جدید ankrBNB و همه توکن های Ankr را بهبود می بخشد.

Ankr همچنین قول می دهد که شیوه های منابع انسانی خود را بهبود بخشد. برای همه کارمندان، از جمله آن‌هایی که از راه دور کار می‌کنند، به بررسی‌های پیشینه «تشدید» نیاز داشته باشید و حقوق دسترسی را بررسی کنید تا مطمئن شوید داده‌های حساس فقط برای کسانی که به آن نیاز دارند قابل دسترسی است. این شرکت همچنین سیستم نوتیفیکیشن جدیدی را اجرا خواهد کرد تا در صورت بروز مشکل سریعتر به تیم هشدار دهد.

هک پروتکل Ankr اولین بار در اول دسامبر کشف شد. این به مهاجمان اجازه داد ۲۰ تریلیون Ankr Reward Bearing Steked BNB (aBNBc) ایجاد کنند. این به زودی با حدود ۵ میلیون دلار کوین USD (USDC) در صرافی های غیرمتمرکز مبادله شد و به اتریوم متصل شد. این تیم می‌گوید که توکن‌های aBNBb و aBNBc را برای کاربرانی که تحت تأثیر این اکسپلویت قرار گرفته‌اند، مجدداً منتشر می‌کند و برای اطمینان از پشتیبانی کامل این توکن‌های جدید، ۵ میلیون دلار از خزانه‌داری خود هزینه خواهد کرد.

توسعه‌دهنده همچنین ۱۵ میلیون دلار برای تثبیت مجدد استیبل کوین HAY، که به دلیل سوءاستفاده از وثیقه‌گذاری کمتری برخوردار بود، سرمایه گذاری کرد.

نویسنده: Tom Blackstone