Ankr ekibinden 20 Aralık’ta yapılan duyuruya göre, 1 Aralık’ta Ankr protokolünün 5 milyon dolarlık bir saldırısına eski bir ekip üyesi neden oldu.
Eski çalışan, ekibin dahili yazılımına gelecek güncellemelerden oluşan bir pakete kötü amaçlı kod koyarak bir “tedarik zinciri saldırısı” gerçekleştirdi. Bu yazılım güncellendikten sonra, kötü amaçlı kod, saldırganın ekibin dağıtım anahtarını şirketin sunucusundan çalmasına olanak tanıyan bir güvenlik açığı oluşturdu.
Eylem Raporundan Sonra: aBNBc Token İstismarından Bulgularımız
Bu konuyu derinlemesine ele alan yeni bir blog yazısı yayınladık: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) 20 Aralık 2022
Daha önce ekip, açıktan yararlanmaya protokolün akıllı sözleşmelerini yükseltmek için kullanılan çalınan bir dağıtım anahtarının neden olduğunu duyurmuştu. Ancak o sırada konuşlandırma anahtarının nasıl çalındığını açıklamamışlardı.
Ankr, yerel yetkilileri uyardı ve saldırganın adalete teslim edilmesini sağlamaya çalışıyor. Ayrıca gelecekte anahtarlarına erişimi korumak için güvenlik uygulamalarını güçlendirmeye çalışıyor.
Konuyla ilgili bir OpenZeppelin eğitimine göre, Ankr’da kullanılanlar gibi yükseltilebilir sözleşmeler, yükseltme yapmak için tek yetkiye sahip bir “sahip hesabı” kavramına dayanır. Hırsızlık riski nedeniyle çoğu geliştirici, bu sözleşmelerin sahipliğini bir gnosis kasasına veya başka bir çoklu imza hesabına aktarır. Ankr ekibi, geçmişte sahiplik için multisig hesabı kullanmadığını ancak bundan sonra da kullanacağını belirterek, şunları kaydetti:
“İstismar kısmen, geliştirici anahtarımızda tek bir hata noktası olduğu için mümkün oldu. Artık, zaman kısıtlamalı aralıklarla tüm kilit sorumluların oturumu kapatmasını gerektirecek güncellemeler için çoklu imza kimlik doğrulaması uygulayacağız ve bu, gelecekte bu türden bir saldırıyı imkansız değilse de son derece zor hale getirecektir. Bu özellikler, yeni ankrBNB sözleşmesi ve tüm Ankr tokenleri için güvenliği artıracak.”
Ankr ayrıca insan kaynakları uygulamalarını iyileştirme sözü verdi. Uzaktan çalışanlar da dahil olmak üzere tüm çalışanlar için “artan” özgeçmiş kontrolleri gerektirecek ve hassas verilere yalnızca ihtiyacı olan çalışanların erişebildiğinden emin olmak için erişim haklarını gözden geçirecek. Şirket ayrıca bir şeyler ters gittiğinde ekibi daha hızlı uyarmak için yeni bildirim sistemleri uygulayacak.
Ankr protokol hack’i ilk olarak 1 Aralık’ta keşfedildi. Saldırganın 20 trilyon Ankr Ödüllü Bahisli BNB’yi (aBNBc) basmasına izin verdi; . Ekip, istismardan etkilenen kullanıcılara aBNBb ve aBNBc tokenlerini yeniden yayınlamayı ve bu yeni tokenlerin tam olarak desteklenmesini sağlamak için kendi hazinesinden 5 milyon dolar harcamayı planladığını belirtti.
Geliştirici ayrıca, istismar nedeniyle eksik teminatlandırılmış hale gelen HAY stablecoin’i yeniden düzenlemek için 15 milyon dolar harcadı.