Ankr заявляет, что бывший сотрудник вызвал эксплойт стоимостью $5 млн, и обещает улучшить безопасность
Взлом протокола Ankr стоимостью 5 миллионов долларов США, произошедший 1 декабря, был вызван бывшим членом команды, говорится в сообщении команды Ankr от 20 декабря.
Бывший сотрудник провел «атаку по цепочке поставок», поместив вредоносный код в пакет будущих обновлений внутреннего программного обеспечения команды. После обновления этого программного обеспечения вредоносный код создал уязвимость в системе безопасности, которая позволила злоумышленнику украсть ключ развертывания команды с сервера компании.
After Action Report: Наши выводы из эксплойта токена aBNBc
Мы только что выпустили новую статью в блоге, в которой подробно рассказываем об этом:
pic.twitter.com/d6psUbpxNY
— Ankr Staking (@ankrstaking) 20 декабря 2022 г.
Ранее команда объявила, что эксплойт был вызван кражей ключа развертывания, который использовался для обновления смарт-контрактов протокола. Но в то время они не объяснили, как был украден ключ развертывания.
Ankr оповестила местные власти и пытается привлечь злоумышленника к ответственности. Она также пытается укрепить свои методы безопасности, чтобы защитить доступ к своим ключам в будущем.
Обновляемые контракты, подобные тем, что используются в Ankr, основаны на концепции «учетной записи владельца», которая имеет исключительные полномочия на обновление, согласно учебнику OpenZeppelin по этому вопросу. Из-за риска кражи большинство разработчиков передают право собственности на эти контракты в сейф gnosis или другую учетную запись с несколькими подписями. Команда Ankr заявила, что в прошлом она не использовала мультисигнатурный счет для передачи прав собственности, но впредь будет это делать, заявив:
«Эксплойт стал возможен отчасти потому, что в нашем ключе разработчика была одна точка отказа. Теперь мы внедрим многосиговую аутентификацию для обновлений, которая будет требовать подписи от всех владельцев ключей в течение ограниченных по времени интервалов, что сделает будущую атаку такого типа чрезвычайно сложной, если не невозможной. Эти функции повысят безопасность нового контракта ankrBNB и всех токенов Ankr».
Ankr также пообещала улучшить практику работы с персоналом. Она будет требовать «эскалации» проверки биографических данных для всех сотрудников, даже тех, кто работает удаленно, и будет пересматривать права доступа, чтобы убедиться, что к конфиденциальным данным могут получить доступ только те работники, которым это необходимо. Компания также внедрит новые системы оповещения, чтобы быстрее предупреждать команду, когда что-то идет не так.
Взлом протокола Ankr был впервые обнаружен 1 декабря. Он позволил злоумышленнику добыть 20 триллионов Ankr Reward Bearing Staked BNB (aBNBc), которые были немедленно обменены на децентрализованных биржах примерно на 5 миллионов долларов США в монете USD Coin (USDC) и переведены в Ethereum. Команда заявила, что планирует перевыпустить свои токены aBNBb и aBNBc для пользователей, пострадавших от эксплойта, и потратить $5 млн из собственной казны, чтобы эти новые токены были полностью обеспечены.
Разработчик также направил $15 млн на повторный выпуск стейблкоина HAY, который оказался недостаточно обеспеченным из-за эксплойта.