Team Finanzen

Ankr beschuldigt ehemaligen Mitarbeiter für $5 Millionen Exploit

  • Ankr räumte zuvor ein, dass ein gestohlener Deployer-Schlüssel, der zur Aktualisierung der Smart Contracts des Protokolls verwendet wurde, hinter dem Angriff steckte. Wie der Deployer-Key zu diesem Zeitpunkt erlangt wurde, wurde jedoch nicht verraten.

Das Ankr-Team, das am 1. Dezember einen $5-Millionen-Hack erlitten hat, hat auf seiner Website bekannt gegeben, dass ein ehemaliger Mitarbeiter für den Angriff auf das Protokoll verantwortlich war. Die DeFi-Plattform sagte dass das ehemalige Teammitglied den Angriff auf die Lieferkette ausführen konnte, indem es schädlichen Code in ein Paket anstehender Updates für die interne Software des Teams einfügte. Sobald der bösartige Code aktualisiert wurde, erzeugte er eine Sicherheitslücke, die dem Angreifer Zugriff auf den Server der Plattform verschaffte und den Bereitstellungsschlüssel des Teams stahl.

Der Fehler ermöglichte es einem Benutzer, 6 Billiarden aBNBc-Token zu prägen, die die Hacker schnell in Binance Coin (BNB) umgewandelt, bevor sie an Tornado Cash, einen Krypto-Mischdienst, gesendet werden. Der Angreifer konnte die BNB-Token gegen 5 Millionen USDC tauschen.

Ankr sagte, es habe die zuständigen Behörden benachrichtigt und arbeite daran, den Angreifer strafrechtlich zu verfolgen. Das Team arbeitet auch daran, die Sicherheit zu verbessern, um den zukünftigen Zugriff auf seine Schlüssel zu schützen. Das Team sagte in einer Erklärung,

Der Exploit war teilweise möglich, weil es in unserem Entwicklerschlüssel einen Single Point of Failure gab. Wir werden jetzt Multi-Sig-Authentifizierung für Updates implementieren, die in zeitlich begrenzten Intervallen eine Freigabe von allen Schlüsselverwaltern erfordern, was einen zukünftigen Angriff dieser Art extrem schwierig, wenn nicht unmöglich macht. Diese Funktionen werden die Sicherheit für den neuen ankrBNB-Vertrag und alle Ankr-Token verbessern.

Darüber hinaus hat Ankr zugesagt, die HR-Verfahren zu verbessern, und wird vorschreiben, dass alle Arbeitnehmer, einschließlich derjenigen, die aus der Ferne arbeiten, verstärkten Hintergrundprüfungen unterzogen werden. Das Team versprach auch, die Zugriffsrechte zu überprüfen, um sicherzustellen, dass nur Mitarbeiter, die Zugriff auf kritische Informationen benötigen, eine Zugriffsberechtigung erhalten. Das DeFi-Protokoll plant auch die Installation neuer Benachrichtigungssysteme, um das Personal schneller zu benachrichtigen, wenn ein Problem auftritt.

Lawrence Woriji
Lawrence Woriji Verifizierter Autor

Ich habe in meiner Karriere als Journalist einige spannende Geschichten berichtet und finde blockchainbezogene Geschichten sehr faszinierend. Ich glaube, dass Web3 die Welt verändern wird und möchte, dass alle daran teilhaben.

Neuesten Nachrichten