Ang isang $5 milyon na hack ng Ankr protocol noong Disyembre 1 ay sanhi ng isang dating miyembro ng koponan, ayon sa isang anunsyo noong Disyembre 20 mula sa koponan ng Ankr.
Ang dating empleyado ay nagsagawa ng "supply chain attack" ni paglalagay malisyosong code sa isang pakete ng mga update sa hinaharap sa panloob na software ng koponan. Kapag na-update na ang software na ito, lumikha ang nakakahamak na code ng kahinaan sa seguridad na nagpapahintulot sa umaatake na nakawin ang susi ng deployer ng team mula sa server ng kumpanya.
After Action Report: Ang Aming Mga Natuklasan Mula sa aBNBc Token Exploit
Kakalabas lang namin ng bagong post sa blog na malalim ang tungkol dito: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) Disyembre 20, 2022
Noong nakaraan, inihayag ng koponan na ang pagsasamantala ay sanhi ng isang ninakaw na susi ng deployer na ginamit para i-upgrade ang mga smart contract ng protocol. Ngunit noong panahong iyon, hindi nila ipinaliwanag kung paano ninakaw ang susi ng deployer.
Inalerto ni Ankr ang mga lokal na awtoridad at sinusubukang iharap sa hustisya ang umaatake. Sinusubukan din nitong palakasin ang mga kasanayan sa seguridad nito upang maprotektahan ang pag-access sa mga susi nito sa hinaharap.
Ang mga naa-upgrade na kontrata tulad ng mga ginamit sa Ankr ay umaasa sa konsepto ng isang "account ng may-ari" na may tanging awtoridad na gumawa mga upgrade, ayon sa isang OpenZeppelin tutorial sa paksa. Dahil sa panganib ng pagnanakaw, inililipat ng karamihan sa mga developer ang pagmamay-ari ng mga kontratang ito sa isang gnosis safe o iba pang multisignature na account. Sinabi ng pangkat ng Ankr na hindi ito gumamit ng multisig account para sa pagmamay-ari sa nakaraan ngunit gagawin ito mula ngayon, na nagsasabi:
“Posible ang pagsasamantala dahil may isang punto ng pagkabigo sa aming developer key. Ipapatupad na namin ngayon ang multi-sig na pagpapatotoo para sa mga update na mangangailangan ng pag-signoff mula sa lahat ng pangunahing tagapag-alaga sa panahon ng mga agwat na pinaghihigpitan sa oras, na ginagawang napakahirap kung hindi imposible ang pag-atake sa hinaharap na ganitong uri. Ang mga feature na ito ay magpapahusay sa seguridad para sa bagong kontrata ng ankrBNB at lahat ng Ankr token."
Nangako rin si Ankr na pagbutihin ang mga kasanayan sa human resource. Mangangailangan ito ng "pinataas" na mga pagsusuri sa background para sa lahat ng empleyado, maging sa mga nagtatrabaho sa malayo, at susuriin nito ang mga karapatan sa pag-access upang matiyak na ang sensitibong data ay maa-access lamang ng mga manggagawang nangangailangan nito. Magpapatupad din ang kumpanya ng mga bagong sistema ng notification para mas mabilis na alertuhan ang team kapag may nangyaring mali.
Ang Ankr protocol hack ay unang natuklasan noong Disyembre 1. Pinahintulutan nito ang umaatake na mag-mint ng 20 trilyong Ankr Reward Bearing Staked BNB (aBNBc), na agad na ipinagpalit sa mga desentralisadong palitan ng humigit-kumulang $5 milyon sa USD Coin (USDC) at naka-bridge sa Ethereum. Ipinahayag ng team na plano nitong ibigay muli ang mga token ng aBNBb at aBNBc nito sa mga user na apektado ng pagsasamantala at gumastos ng $5 milyon mula sa sarili nitong treasury upang matiyak na ganap na sinusuportahan ang mga bagong token na ito.
Nag-deploy din ang developer ng $15 milyon sa repeg ang HAY stablecoin, na naging undercollateralized dahil sa pagsasamantala.
Pinagmulan: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security