Μια εισβολή 5 εκατομμυρίων δολαρίων του πρωτοκόλλου Ankr την 1η Δεκεμβρίου προκλήθηκε από ένα πρώην μέλος της ομάδας, σύμφωνα με ανακοίνωση της ομάδας Ankr στις 20 Δεκεμβρίου.
Ο πρώην υπάλληλος πραγματοποίησε «επίθεση με αλυσίδα εφοδιασμού» από βάζοντας κακόβουλο κώδικα σε ένα πακέτο μελλοντικών ενημερώσεων στο εσωτερικό λογισμικό της ομάδας. Μόλις ενημερώθηκε αυτό το λογισμικό, ο κακόβουλος κώδικας δημιούργησε μια ευπάθεια ασφαλείας που επέτρεπε στον εισβολέα να κλέψει το κλειδί ανάπτυξης της ομάδας από τον διακομιστή της εταιρείας.
Έκθεση μετά τη δράση: Τα ευρήματά μας από το aBNBc Token Exploit
Μόλις δημοσιεύσαμε μια νέα ανάρτηση ιστολογίου που αναφέρεται σε βάθος σχετικά με αυτό: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) Δεκέμβριος 20, 2022
Προηγουμένως, η ομάδα είχε ανακοινώσει ότι το κατόρθωμα ήταν που προκαλείται από κλεμμένο κλειδί προγραμματιστή που χρησιμοποιήθηκε για την αναβάθμιση των έξυπνων συμβάσεων του πρωτοκόλλου. Αλλά εκείνη τη στιγμή, δεν είχαν εξηγήσει πώς είχε κλαπεί το κλειδί του προγραμματιστή.
Η Ankr έχει ειδοποιήσει τις τοπικές αρχές και προσπαθεί να παραπέμψει τον δράστη ενώπιον της δικαιοσύνης. Προσπαθεί επίσης να ενισχύσει τις πρακτικές ασφαλείας της για να προστατεύσει την πρόσβαση στα κλειδιά της στο μέλλον.
Τα συμβόλαια με δυνατότητα αναβάθμισης όπως αυτά που χρησιμοποιούνται στο Ankr βασίζονται στην έννοια του "λογαριασμού κατόχου" που έχει την αποκλειστική αρμοδιότητα να κάνω αναβαθμίσεις, σύμφωνα με ένα σεμινάριο του OpenZeppelin για το θέμα. Λόγω του κινδύνου κλοπής, οι περισσότεροι προγραμματιστές μεταβιβάζουν την κυριότητα αυτών των συμβάσεων σε έναν gnosis safe ή άλλο λογαριασμό πολλαπλών υπογραφών. Η ομάδα Ankr είπε ότι δεν χρησιμοποίησε λογαριασμό multisig για ιδιοκτησία στο παρελθόν, αλλά θα το κάνει από εδώ και στο εξής, δηλώνοντας:
«Η εκμετάλλευση ήταν δυνατή εν μέρει επειδή υπήρχε ένα μόνο σημείο αποτυχίας στο κλειδί προγραμματιστή μας. Τώρα θα εφαρμόσουμε έλεγχο ταυτότητας πολλαπλών σημείων για ενημερώσεις που θα απαιτούν απογραφή από όλους τους βασικούς θεματοφύλακες κατά τη διάρκεια χρονικά περιορισμένων διαστημάτων, καθιστώντας μια μελλοντική επίθεση αυτού του τύπου εξαιρετικά δύσκολη, αν όχι αδύνατη. Αυτές οι δυνατότητες θα βελτιώσουν την ασφάλεια για το νέο συμβόλαιο ankrBNB και όλα τα διακριτικά Ankr."
Ο Ankr έχει επίσης ορκιστεί να βελτιώσει τις πρακτικές ανθρώπινου δυναμικού. Θα απαιτήσει «κλιμακωτούς» ελέγχους ιστορικού για όλους τους υπαλλήλους, ακόμη και αυτούς που εργάζονται εξ αποστάσεως, και θα επανεξετάσει τα δικαιώματα πρόσβασης για να βεβαιωθεί ότι τα ευαίσθητα δεδομένα είναι προσβάσιμα μόνο από εργαζόμενους που τα χρειάζονται. Η εταιρεία θα εφαρμόσει επίσης νέα συστήματα ειδοποιήσεων για να ειδοποιεί την ομάδα πιο γρήγορα όταν κάτι πάει στραβά.
Η παραβίαση του πρωτοκόλλου Ankr ανακαλύφθηκε για πρώτη φορά την 1η Δεκεμβρίου. Επέτρεψε στον εισβολέα να κόψει 20 τρισεκατομμύρια Ankr Rewarding Bearing Staked BNB (aBNBc), το οποίο ανταλλάχθηκε αμέσως σε αποκεντρωμένα χρηματιστήρια για περίπου 5 εκατομμύρια δολάρια σε USD Coin (USDC) και γεφυρώθηκε στο Ethereum. Η ομάδα έχει δηλώσει ότι σχεδιάζει να εκδώσει ξανά τα διακριτικά της aBNBb και aBNBc σε χρήστες που επηρεάζονται από το exploit και να δαπανήσει 5 εκατομμύρια δολάρια από το ταμείο της για να διασφαλίσει ότι αυτά τα νέα διακριτικά υποστηρίζονται πλήρως.
Ο προγραμματιστής έχει επίσης διαθέσει 15 εκατομμύρια δολάρια σε repeg το HAY stablecoin, η οποία κατέστη υπό εξασφάλιση λόγω της εκμετάλλευσης.
Πηγή: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security