- Ankr myönsi aiemmin, että hyökkäyksen takana oli varastettu käyttöönotto-avain, jota käytettiin protokollan älykkäiden sopimusten päivittämiseen. Se ei kuitenkaan paljastanut tuolloin, miten käyttöönottoavain oli saatu.
Ankr-tiimi, joka 1. joulukuuta kärsi $5 miljoonan euron hakkeroinnista, on ilmoittanut verkkosivuillaan, että entinen työntekijä oli vastuussa protokollaan kohdistuneesta hyökkäyksestä. DeFi-alusta sanoi että tiimin entinen jäsen pystyi toteuttamaan toimitusketjuhyökkäyksen lisäämällä haitallista koodia tiimin sisäisen ohjelmiston tulevien päivitysten pakettiin. Haitallinen koodi tuotti päivityksen jälkeen tietoturva-aukon, joka antoi hyökkääjälle pääsyn alustan palvelimelle ja varasti tiimin käyttöönottoavaimen.
Virheen avulla käyttäjä pystyi lyömään 6 kvadriljoonaa aBNBc-tunnusta, jotka hakkeri muutti nopeasti Binance Coiniksi (BNB) ennen kuin lähetti ne Tornado Cashille, joka on kryptojen sekoituspalvelu. Hyökkääjä pystyi vaihtamaan BNB-tokenit 5 miljoonaan USDC:hen.
Ankr ilmoitti, että se on ilmoittanut asiasta appoimivaltaisille viranomaisille ja pyrkii saamaan hyökkääjän syytteeseen. Tiimi pyrkii myös parantamaan tietoturvaa, jotta sen avaimiin pääsisi jatkossa käsiksi. Tiimi sanoi lausunnossaan,
Hyödyntäminen oli mahdollista osittain siksi, että kehittäjäavaimessamme oli yksi vikapiste. Toteutamme nyt päivityksissä monisignaalisen todennuksen, joka edellyttää kaikkien avainten ylläpitäjien allekirjoitusta aikarajoitetuin väliajoin, mikä tekee tämäntyyppisestä hyökkäyksestä tulevaisuudessa erittäin vaikeaa, ellei mahdotonta. Nämä ominaisuudet parantavat uuden ankrBNB-sopimuksen ja kaikkien Ankr-tunnusten turvallisuutta.
4/ Parannamme nyt useita turvatoimia, tässä on muutamia:
- Multi-sig-todennuksen ja aikalukkojen vaatiminen kaikkia päivityksiä varten.
- Sisäisten turvatoimien uudistaminen
- Uusien seuranta- ja ilmoitusjärjestelmien käyttöönotto
- DeFi-protokollien kanssa työskentelyä koskevien menettelyjen tarkentaminen.
- Ankr Staking (@ankrstaking) joulukuu 20, 2022
Lisäksi Ankr on luvannut tehostaa henkilöstöhallintomenettelyjä ja määrätä, että kaikkien työntekijöiden, myös etätyötä tekevien, taustatarkastuksia on lisättävä. Tiimi lupasi myös tarkistaa käyttöoikeudet varmistaakseen, että vain ne työntekijät, jotka tarvitsevat pääsyä kriittisiin tietoihin, saavat luvan käyttää niitä. DeFi-pöytäkirja aikoo myös asentaa uusia ilmoitusjärjestelmiä, joiden avulla henkilöstölle voidaan ilmoittaa nopeammin, jos ongelmia ilmenee.
Lawrence Woriji 
Olen uutisoinut jännittäviä tarinoita toimittajan urallani ja pidän lohkoketjuihin liittyviä tarinoita hyvin kiehtovina. Uskon, että Web3 tulee muuttamaan maailmaa, ja haluan kaikkien olevan osa sitä.
