Ankr beschuldigt ehemaligen Mitarbeiter für $5 Millionen Exploit

• Ankr hatte zuvor bestätigt, dass ein gestohlener Deployer-Schlüssel, der zur Aktualisierung der Smart Contracts des Protokolls verwendet wurde, hinter dem Angriff steckte. Wie dieser Schlüssel erlangt wurde, wurde damals jedoch nicht offengelegt.

---

Das Ankr-Team, das am 1. Dezember Opfer eines Hacks mit einem Schaden von 1,4 Billionen US-Dollar wurde, gab auf seiner Website bekannt, dass ein ehemaliger Mitarbeiter für den Angriff auf das Protokoll verantwortlich war. Die DeFi-Plattform sagte Das ehemalige Teammitglied konnte den Lieferkettenangriff durchführen, indem es Schadcode in ein Paket mit anstehenden Updates für die interne Software des Teams einschleuste. Der Schadcode erzeugte nach der Installation eine Sicherheitslücke, die dem Angreifer Zugriff auf den Server der Plattform ermöglichte und ihm den Bereitstellungsschlüssel des Teams stahl.

Der Fehler ermöglichte es einem Benutzer, 6 Billiarden aBNBc-Token zu prägen, die die Hacker schnell in Binance Coin (BNB) umgewandelt, bevor sie an Tornado Cash, einen Krypto-Mischdienst, gesendet werden. Der Angreifer konnte die BNB-Token gegen 5 Millionen USDC tauschen.

Ankr teilte mit, die zuständigen Behörden informiert zu haben und an der Strafverfolgung des Angreifers zu arbeiten. Das Team arbeitet außerdem an der Verbesserung der Sicherheitsvorkehrungen, um künftigen Zugriff auf seine Schlüssel zu gewährleisten. In einer Erklärung hieß es:,

Der Exploit war teilweise möglich, weil es in unserem Entwicklerschlüssel einen Single Point of Failure gab. Wir werden jetzt Multi-Sig-Authentifizierung für Updates implementieren, die in zeitlich begrenzten Intervallen eine Freigabe von allen Schlüsselverwaltern erfordern, was einen zukünftigen Angriff dieser Art extrem schwierig, wenn nicht unmöglich macht. Diese Funktionen werden die Sicherheit für den neuen ankrBNB-Vertrag und alle Ankr-Token verbessern.

4/ Wir verbessern jetzt mehrere Sicherheitsmaßnahmen, hier sind einige:

– Erfordert Multi-Signatur-Authentifizierung und Zeitsperren für alle Updates
– Überarbeitung der internen Sicherheitsmaßnahmen
– Implementierung neuer Überwachungs- und Benachrichtigungssysteme
– Optimierung der Verfahren für die Arbeit mit DeFi-Protokollen

— Ankr Staking (@ankrstaking) 20. Dezember 2022

Ankr hat sich außerdem verpflichtet, die HR-Prozesse zu verbessern und für alle Mitarbeiter, auch für diejenigen im Homeoffice, verstärkte Hintergrundprüfungen durchzuführen. Das Team kündigte zudem an, die Zugriffsrechte zu überprüfen, um sicherzustellen, dass nur Mitarbeiter mit Zugriff auf kritische Informationen diesen auch erhalten. Das DeFi-Protokoll plant außerdem die Einführung neuer Benachrichtigungssysteme, um die Mitarbeiter im Problemfall schneller zu informieren.

Neuesten Nachrichten