Ankr culpa de $5 Million Exploit a un ex empleado

• Ankr reconoció previamente que una clave de implementación robada que se usó para actualizar los contratos inteligentes del protocolo estaba detrás del ataque. Sin embargo, no reveló cómo se obtuvo la clave de implementación en ese momento.

---

El equipo de Ankr, que el pasado 1 de diciembre sufrió un hackeo de $5 millones, ha anunciado en su web que un exempleado fue el responsable del ataque al protocolo. La plataforma DeFi dijo que el antiguo miembro del equipo pudo llevar a cabo el ataque a la cadena de suministro al insertar un código dañino en un paquete de próximas actualizaciones del software interno del equipo. El código malicioso, una vez actualizado, produjo una falla de seguridad que le dio al atacante acceso al servidor de la plataforma y robó la clave de implementación del equipo.

La falla permitió a un usuario acuñar 6 cuatrillones de tokens aBNBc, que el hacker convertidos rápidamente en Binance Coin (BNB) antes de enviarlos a Tornado Cash, un servicio de mezcla de criptomonedas. El atacante pudo cambiar los tokens BNB por 5 millones de USDC.

Ankr dijo que notificó a las autoridades correspondientes y está trabajando para procesar al atacante. El equipo también está trabajando para mejorar la seguridad para salvaguardar el acceso futuro a sus claves. El equipo dijo en un comunicado,

El exploit fue posible en parte porque hubo un único punto de falla en nuestra clave de desarrollador. Ahora implementaremos la autenticación de varias firmas para las actualizaciones que requerirán la aprobación de todos los custodios de claves durante intervalos de tiempo restringido, lo que hará que un ataque futuro de este tipo sea extremadamente difícil, si no imposible. Estas características mejorarán la seguridad del nuevo contrato ankrBNB y todos los tokens de Ankr.

4/ Ahora estamos mejorando varias medidas de seguridad, aquí hay algunas:

– Requerir autenticación Multi-sig y timelocks para todas las actualizaciones
– Renovación de las medidas de seguridad interna
– Implementación de nuevos sistemas de seguimiento y notificación
– Procedimientos de refinamiento para trabajar con protocolos DeFi

— Replanteo de Ankr (@ankrstaking) 20 de diciembre de 2022

Además, Ankr se ha comprometido a mejorar los procedimientos de recursos humanos y exigirá que todos los trabajadores, incluidos los que trabajan de forma remota, se enfrenten a una mayor verificación de antecedentes. El equipo también prometió revisar los privilegios de acceso para garantizar que solo los empleados que necesitan acceso a información crítica tengan autorización para acceder a ella. El protocolo DeFi también planea instalar nuevos sistemas de notificación para notificar al personal con mayor prontitud si ocurre un problema.

Últimas noticias