Последние новости майнинга криптовалют Будьте в курсе происходящих событий майнинга.
Взлом протокола Ankr на 5 миллионов долларов 1 декабря был совершен бывшим членом команды, согласно объявлению команды Ankr от 20 декабря. Команда предупредила соответствующие органы в попытке привлечь к ответственности злоумышленника и обещает укрепить свои методы обеспечения безопасности.
Бывший сотрудник провел «атаку на цепочку поставок», внедрив вредоносный код в пакет будущих обновлений внутреннего программного обеспечения команды. После применения обновления вредоносный код создал уязвимость в системе безопасности, которая позволила злоумышленнику украсть ключ развертывания команды с сервера компании.
Ранее команда объявила, что эксплойт был вызван украденным ключом развертывания, который использовался для обновления смарт-контрактов протокола. Но в то время они не объяснили, как был украден ключ развертывания.
Ankr предупредил местные власти и пытается привлечь нападавшего к ответственности. Он также пытается укрепить свои методы безопасности, чтобы защитить доступ к своим ключам в будущем.
Обновляемые контракты, подобные тем, которые используются в Ankr, основаны на концепции «учетной записи владельца», которая имеет исключительные полномочия на выполнение обновлений, согласно учебному пособию OpenZeppelin по этому вопросу. Из-за риска кражи большинство разработчиков передают право собственности на эти контракты в Gnosis Safe или другую учетную запись с мультиподписью. Команда Ankr заявила, что в прошлом она не использовала учетную запись с мультиподписью для владения, но будет делать это с этого момента, заявив:
«Эксплойт стал возможен отчасти потому, что в нашем ключе разработчика была единственная точка отказа. Теперь мы будем реализовывать аутентификацию с несколькими подписями для обновлений, которые потребуют выхода от всех хранителей ключей в течение ограниченных по времени интервалов, что делает будущие атаки такого типа чрезвычайно трудными, если не невозможными. Эти функции повысят безопасность нового контракта ankrBNB и всех токенов Ankr».
Ankr также пообещал улучшить практику работы с персоналом. Он потребует «расширенных» проверок биографических данных для всех сотрудников, даже тех, кто работает удаленно, и будет проверять права доступа, чтобы убедиться, что доступ к конфиденциальным данным может быть получен только теми работниками, которые в них нуждаются. Компания также внедрит новые системы уведомлений, чтобы быстрее оповещать команду, когда что-то пойдет не так.
Взлом протокола Ankr был впервые обнаружен 1 декабря. Он позволил злоумышленнику добыть 20 триллионов Ankr Reward Bearing Staked BNB (aBNBc), которые были немедленно обменены на децентрализованных биржах примерно на 5 миллионов USD Coin (USDC) и отправлены в Ethereum. Команда заявила, что планирует перевыпустить свои токены aBNBb и aBNBc для пользователей, пострадавших от эксплойта, и потратить 5 миллионов долларов из собственной казны, чтобы обеспечить полную поддержку этих новых токенов.
Разработчик также направил 15 миллионов долларов на замену стабильной монеты HAY, которая стала недостаточно обеспеченной из-за эксплойта.
