Хакирање Анкр протокола од 5 милиона долара 1. децембра изазвао је бивши члан тима, према саопштењу Анкр тима од 20. децембра.
Бивши запослени је извршио „напад на ланац снабдевања“ од стране стављање злонамерног кода у пакет будућих ажурирања интерног софтвера тима. Једном када је овај софтвер ажуриран, злонамерни код је створио безбедносну рањивост која је омогућила нападачу да украде кључ за постављање тима са сервера компаније.
Извештај након акције: Наши налази из експлоатације аБНБц токена
Управо смо објавили нови пост на блогу који детаљно говори о овоме: https://t.co/fyagjhODNG
— Анкр Стакинг (@анкрстакинг) Декабрь 20, 2022
Претходно је тим најавио да је експлоатација била узроковано украденим кључем за постављање који је коришћен за надоградњу паметних уговора протокола. Али у то време нису објаснили како је кључ за постављање украден.
Анкр је упозорио локалне власти и покушава да приведе нападача правди. Такође покушава да ојача своје безбедносне праксе како би заштитио приступ својим кључевима у будућности.
Уговори који се могу надоградити попут оних који се користе у Анкр-у ослањају се на концепт „власничког налога“ који има искључиво овлашћење да make (правити) надоградње, према ОпенЗеппелин туторијалу на ту тему. Због ризика од крађе, већина програмера преноси власништво над овим уговорима на Гносис сеф или други налог са више потписа. Анкр тим је рекао да раније није користио рачун са више потписа за власништво, али да ће то радити од сада, наводећи:
„Искоришћавање је делимично било могуће зато што је постојала једна тачка грешке у нашем кључу програмера. Сада ћемо имплементирати аутентификацију са више знакова за ажурирања која ће захтевати потписивање од свих кључних чувара током временски ограничених интервала, чинећи будући напад овог типа изузетно тешким ако не и немогућим. Ове функције ће побољшати сигурност за нови анкрБНБ уговор и све Анкр токене.”
Анкр је такође обећао да ће побољшати праксу људских ресурса. Захтеваће „ескалиране“ провере позадине за све запослене, чак и оне који раде на даљину, и прегледаће права приступа како би се уверио да осетљивим подацима могу приступити само радници којима су потребни. Компанија ће такође имплементирати нове системе обавештења како би брже упозорила тим када нешто крене наопако.
Хак на Анкр протокол је први пут откривен 1. децембра. То је омогућило нападачу да искује 20 трилиона Анкр Ревард Беаринг Стакед БНБ (аБНБц), који је одмах замењен на децентрализованим берзама за око 5 милиона долара у УСД Цоин (USDC) и повезан са Етхереумом. Тим је изјавио да планира да поново изда своје аБНБб и аБНБц токене корисницима погођеним експлоатацијом и да потроши 5 милиона долара из сопствене благајне како би осигурао да ови нови токени буду у потпуности подржани.
Програмер је такође уложио 15 милиона долара за репег стабилног новца ХАИ, који је због експлоатације постао подколатерализован.
Извор: хттпс://цоинтелеграпх.цом/невс/анкр-саис-ек-емплоиее-цаусед-5м-екплоит-вовс-то-импрове-сецурити