根据 Ankr 团队 5 月 1 日的公告,20 月 XNUMX 日对 Ankr 协议的 XNUMX 万美元黑客攻击是由一名前团队成员造成的。
前雇员进行了“供应链攻击” 把 将恶意代码放入团队内部软件的未来更新包中。 更新此软件后,恶意代码会创建一个安全漏洞,使攻击者能够从公司的服务器上窃取团队的部署者密钥。
事后报告:我们对 aBNBc 代币漏洞利用的调查结果
我们刚刚发布了一篇新的博文,深入探讨了这一点: https://t.co/fyagjhODNG
— Ankr 质押 (@ankrstaking) 2022 年 12 月 20 日
此前,该团队曾宣布该漏洞利用 由被盗的部署者密钥引起 用于升级协议的智能合约。 但当时,他们没有解释部署者密钥是如何被盗的。
Ankr 已通知地方当局,并试图将袭击者绳之以法。 它还试图加强其安全实践,以保护未来对其密钥的访问。
像 Ankr 中使用的可升级合约依赖于“所有者帐户”的概念,该帐户具有唯一权限 使 根据关于该主题的 OpenZeppelin 教程进行升级。 由于盗窃的风险,大多数开发人员将这些合约的所有权转移到 gnosis safe 或其他多重签名帐户。 Ankr 团队表示,它过去没有使用多重签名帐户来表示所有权,但从现在开始将这样做,并表示:
“该漏洞利用的部分原因是我们的开发人员密钥存在单点故障。 我们现在将为更新实施多重签名身份验证,这将需要所有密钥保管人在时间限制的时间间隔内签核,这使得未来此类攻击即使不是不可能也极其困难。 这些功能将提高新 ankrBNB 合约和所有 Ankr 代币的安全性。”
Ankr 还发誓要改善人力资源实践。 它将要求对所有员工进行“升级”的背景调查,甚至包括远程工作的员工,并将审查访问权限以确保敏感数据只能由需要的员工访问。 该公司还将实施新的通知系统,以便在出现问题时更快地提醒团队。
Ankr 协议黑客攻击 首次被发现 1 月 20 日。它允许攻击者铸造 5 万亿 Ankr 奖励轴承抵押 BNB(aBNBc),立即在去中心化交易所交换约 XNUMX 万美元的美元硬币(USDC) 并桥接到以太坊。 该团队表示,它计划向受该漏洞利用影响的用户重新发行其 aBNBb 和 aBNBc 代币,并从自己的国库中支出 5 万美元,以确保这些新代币得到充分支持。
开发商还投入了 15 万美元用于 重新定价 HAY 稳定币,由于漏洞利用而变得抵押不足。
资料来源:https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security