Een hack van het Ankr-protocol van $ 5 miljoen op 1 december werd veroorzaakt door een voormalig teamlid, volgens een aankondiging van 20 december van het Ankr-team.
De ex-werknemer voerde een “supply chain attack” uit door zetten schadelijke code in een pakket met toekomstige updates voor de interne software van het team. Nadat deze software was bijgewerkt, creëerde de kwaadaardige code een beveiligingslek waardoor de aanvaller de sleutel van het team van de server van het bedrijf kon stelen.
After Action Report: onze bevindingen van de aBNBc Token Exploit
We hebben zojuist een nieuwe blogpost uitgebracht die hier dieper op ingaat: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) 20 december 2022
Eerder had het team aangekondigd dat de exploit was veroorzaakt door een gestolen implementatiesleutel dat werd gebruikt om de slimme contracten van het protocol te upgraden. Maar op dat moment hadden ze niet uitgelegd hoe de sleutel van de operator was gestolen.
Ankr heeft de lokale autoriteiten gewaarschuwd en probeert de aanvaller voor het gerecht te brengen. Het probeert ook zijn beveiligingspraktijken te versterken om de toegang tot zijn sleutels in de toekomst te beschermen.
Opwaardeerbare contracten zoals die in Ankr worden gebruikt, zijn gebaseerd op het concept van een "eigenaarsaccount" dat daartoe de enige bevoegdheid heeft maken upgrades, volgens een OpenZeppelin-tutorial over dit onderwerp. Vanwege het risico op diefstal dragen de meeste ontwikkelaars het eigendom van deze contracten over aan een gnosis safe of een ander multisignature account. Het Ankr-team zei dat het in het verleden geen multisig-account voor eigendom heeft gebruikt, maar dit vanaf nu zal doen, met vermelding van:
“De exploit was deels mogelijk omdat er een single point of failure was in onze ontwikkelaarssleutel. We zullen nu multi-sig-authenticatie implementeren voor updates waarvoor goedkeuring van alle sleutelbewaarders nodig is gedurende tijdgebonden intervallen, waardoor een toekomstige aanval van dit type uiterst moeilijk, zo niet onmogelijk wordt. Deze functies zullen de beveiliging van het nieuwe ankrBNB-contract en alle Ankr-tokens verbeteren.”
Ankr heeft ook gezworen de personeelspraktijken te verbeteren. Het vereist "geëscaleerde" antecedentenonderzoeken voor alle werknemers, zelfs degenen die op afstand werken, en het zal de toegangsrechten herzien om ervoor te zorgen dat gevoelige gegevens alleen toegankelijk zijn voor werknemers die deze nodig hebben. Het bedrijf zal ook nieuwe meldingssystemen implementeren om het team sneller te waarschuwen als er iets misgaat.
De hack van het Ankr-protocol werd voor het eerst ontdekt op 1 december. Het stelde de aanvaller in staat om 20 biljoen Ankr Reward Bearing Staked BNB (aBNBc) te slaan, die onmiddellijk werd geruild op gedecentraliseerde beurzen voor ongeveer $ 5 miljoen in USD Coin (USDC) en overbrugd naar Ethereum. Het team heeft verklaard dat het van plan is om zijn aBNBb- en aBNBc-tokens opnieuw uit te geven aan gebruikers die door de exploit zijn getroffen en om $ 5 miljoen uit zijn eigen schatkist te besteden om ervoor te zorgen dat deze nieuwe tokens volledig worden ondersteund.
De ontwikkelaar heeft ook $ 15 miljoen ingezet om repeg de HAY stablecoin, die door de exploit onderpand kregen.
Bron: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security