Ankr チームからの 5 月 1 日の発表によると、20 月 XNUMX 日の Ankr プロトコルの XNUMX 万ドルのハッキングは、元チーム メンバーによって引き起こされました。
元従業員が「サプライチェーン攻撃」を行った パッティング 悪意のあるコードを、チームの内部ソフトウェアに対する将来の更新プログラムのパッケージに入れます。 このソフトウェアが更新されると、悪意のあるコードによってセキュリティ上の脆弱性が作成され、攻撃者が会社のサーバーからチームのデプロイヤー キーを盗むことが可能になりました。
アクション後のレポート: aBNBc トークンのエクスプロイトからの調査結果
これについて詳しく説明する新しいブログ投稿をリリースしました。 https://t.co/fyagjhODNG
— Ankr ステーキング (@ankrstaking) 2022 年 12 月 20 日
以前、チームはエクスプロイトが 盗難されたデプロイヤ キーが原因 これは、プロトコルのスマート コントラクトをアップグレードするために使用されました。 しかし、当時、彼らはデプロイヤー キーがどのように盗まれたかを説明していませんでした。
Ankr は地元当局に警告を発し、攻撃者を裁判にかけようとしています。 また、将来的に鍵へのアクセスを保護するために、セキュリティ慣行を強化しようとしています。
Ankr で使用されているようなアップグレード可能な契約は、唯一の権限を持つ「所有者アカウント」の概念に依存しています。 make このテーマに関する OpenZeppelin チュートリアルによると、アップグレードします。 盗難のリスクがあるため、ほとんどの開発者はこれらのコントラクトの所有権を gnosis safe またはその他のマルチシグ アカウントに譲渡します。 Ankr チームは、これまでマルチシグ アカウントを所有に使用していなかったが、今後は使用する予定であると述べ、次のように述べています。
「エクスプロイトが可能になったのは、開発者キーに単一障害点があったためです。 時間制限のある間隔ですべてのキーカストディアンからのサインオフを必要とする更新にマルチシグ認証を実装する予定であり、このタイプの将来の攻撃は不可能ではないにしても非常に困難になります. これらの機能により、新しい ankrBNB コントラクトとすべての Ankr トークンのセキュリティが向上します。」
Ankr はまた、人事慣行を改善することを約束しました。 リモートで働いている従業員も含め、すべての従業員に対して「エスカレートされた」バックグラウンド チェックを要求し、アクセス権を見直して、機密データを必要とする従業員のみがアクセスできるようにします。 同社はまた、何か問題が発生した場合により迅速にチームに警告するための新しい通知システムを実装します。
Ankr プロトコルのハッキング 最初に発見された 1 月 20 日、攻撃者は 5 兆の Ankr Reward Bearing Staked BNB (aBNBc) を作成することができ、すぐに分散型取引所で約 XNUMX 万ドルの USD コインと交換されました (USDC) イーサリアムにブリッジされます。 チームは、エクスプロイトの影響を受けたユーザーに aBNBb および aBNBc トークンを再発行し、これらの新しいトークンが完全に裏付けられるように、独自の財務省から 5 万ドルを費やす予定であると述べています。
開発者はまた、15 万ドルを HAYステーブルコインを再ペグする、エクスプロイトにより過小担保化されました。
ソース: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security