Ankr-ის გუნდის 5 დეკემბრის განცხადების თანახმად, 1 დეკემბერს Ankr-ის პროტოკოლის 20 მილიონი დოლარის გატეხვა გამოიწვია გუნდის ყოფილმა წევრმა.
ყოფილმა თანამშრომელმა „მომარაგების ჯაჭვის შეტევა“ განახორციელა აყენებს მავნე კოდი გუნდის შიდა პროგრამული უზრუნველყოფის მომავალი განახლებების პაკეტში. ამ პროგრამული უზრუნველყოფის განახლების შემდეგ, მავნე კოდმა შექმნა უსაფრთხოების დაუცველობა, რომელიც საშუალებას აძლევდა თავდამსხმელს მოეპარა გუნდის განლაგების გასაღები კომპანიის სერვერიდან.
სამოქმედო ანგარიშის შემდეგ: ჩვენი დასკვნები aBNBc ტოკენის ექსპლოიტიდან
ჩვენ ახლახან გამოვაქვეყნეთ ბლოგის ახალი პოსტი, რომელიც სიღრმისეულია ამის შესახებ: https://t.co/fyagjhODNG
— ანკრ სტეკინგი (@ankrstaking) დეკემბერი 20, 2022
მანამდე გუნდმა გამოაცხადა, რომ ექსპლოატი იყო გამოწვეული მოპარული განლაგების გასაღებით რომელიც გამოიყენებოდა პროტოკოლის ჭკვიანი კონტრაქტების განახლებისთვის. მაგრამ იმ დროს მათ არ განუმარტეს, როგორ მოიპარეს განლაგების გასაღები.
ანკრმა ადგილობრივ ხელისუფლებას გააფრთხილა და თავდამსხმელის პასუხისგებაში მიცემას ცდილობს. ის ასევე ცდილობს გააძლიეროს თავისი უსაფრთხოების პრაქტიკა მომავალში მის გასაღებებზე წვდომის დასაცავად.
განახლებადი კონტრაქტები, როგორიცაა Ankr-ში გამოყენებული კონტრაქტები, ეყრდნობა „მფლობელის ანგარიშის“ კონცეფციას, რომელსაც აქვს ერთადერთი უფლებამოსილება. მიიღოს განახლებები, OpenZeppelin-ის გაკვეთილის მიხედვით ამ თემაზე. ქურდობის რისკის გამო, დეველოპერების უმეტესობა ამ კონტრაქტებზე საკუთრებას გადასცემს gnosis სეიფს ან სხვა მრავალ ხელმოწერის ანგარიშს. Ankr-ის გუნდმა თქვა, რომ წარსულში არ იყენებდა multisig ანგარიშს მფლობელობისთვის, მაგრამ ამას გააკეთებს ამიერიდან და განაცხადა:
„ექსპლოიტი ნაწილობრივ იყო შესაძლებელი, რადგან ჩვენს დეველოპერის კლავიშში იყო წარუმატებლობის ერთი წერტილი. ჩვენ ახლა განვახორციელებთ მრავალ ნიშანთა ავთენტიფიკაციას განახლებებისთვის, რომლებიც საჭიროებს ყველა საკვანძო მეურვეს ხელმოწერას დროში შეზღუდული ინტერვალებით, რაც ამ ტიპის მომავალ თავდასხმას უკიდურესად ართულებს, თუ არა შეუძლებელს. ეს ფუნქციები გააუმჯობესებს უსაფრთხოებას ახალი ankrBNB კონტრაქტისა და ყველა Ankr ტოკენისთვის.”
ანკრმა ასევე პირობა დადო, რომ გააუმჯობესებს ადამიანური რესურსების პრაქტიკას. ის მოითხოვს ყველა თანამშრომლისთვის, მათ შორის, ვინც მუშაობს დისტანციურად, „ესკალირებული“ ფონური შემოწმება და განიხილავს წვდომის უფლებებს, რათა დარწმუნდეს, რომ სენსიტიურ მონაცემებზე წვდომა მხოლოდ იმ მუშაკებს შეუძლიათ, რომლებსაც ეს სჭირდებათ. კომპანია ასევე დანერგავს შეტყობინებების ახალ სისტემებს, რათა უფრო სწრაფად გააფრთხილოს გუნდი, როდესაც რამე არასწორედ მოხდება.
ანკრის პროტოკოლის ჰაკი პირველად აღმოაჩინეს 1 დეკემბერს. მან საშუალება მისცა თავდამსხმელს გამოეჭრა 20 ტრილიონი Ankr Reward Bearing Staked BNB (aBNBc), რომელიც მაშინვე გადაიცვალა დეცენტრალიზებულ ბირჟებზე დაახლოებით 5 მილიონ დოლარად აშშ დოლარის მონეტაში.USDC) და ხიდი ეთერიუმთან. გუნდმა განაცხადა, რომ აპირებს ხელახლა გამოსცეს თავისი aBNBb და aBNBc ტოკენები მომხმარებლებისთვის, რომლებიც გავლენას ახდენენ ექსპლოიტის შედეგად და დახარჯონ $5 მილიონი საკუთარი ხაზინიდან, რათა უზრუნველყოს ეს ახალი ტოკენების სრული მხარდაჭერა.
დეველოპერმა ასევე გამოყო 15 მილიონი დოლარი რეპეგ HAY stablecoin, რომელიც ექსპლუატაციის გამო გახდა არასრულფასოვანი.
წყარო: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security