Ankr incolpa $5 milioni di exploit sull'ex dipendente
- Ankr in precedenza aveva riconosciuto che dietro l'attacco c'era una chiave di distribuzione rubata utilizzata per aggiornare gli smart contract del protocollo. Tuttavia, non ha rivelato come è stata ottenuta la chiave del deployer in quel momento.
Il team di Ankr, che il 1° dicembre ha subito un hack da $5 milioni, ha annunciato sul proprio sito che un ex dipendente si è reso responsabile dell'attacco al protocollo. La piattaforma DeFi disse che l'ex membro del team è stato in grado di eseguire l'attacco alla catena di approvvigionamento inserendo codice dannoso in un pacchetto di imminenti aggiornamenti al software interno del team. Il codice dannoso, una volta aggiornato, ha prodotto una falla di sicurezza che ha consentito all'attaccante di accedere al server della piattaforma e ha rubato la chiave del deployer del team.
Il difetto ha consentito a un utente di coniare 6 quadrilioni di token aBNBc, che il pirata convertiti rapidamente in Binance Coin (BNB) prima di inviarli a Tornado Cash, un servizio di mixaggio di criptovalute. L'attaccante è riuscito a scambiare i token BNB con 5 milioni di USDC.
Ankr ha dichiarato di aver informato le autorità competenti e sta lavorando per far perseguire l'aggressore. Il team sta anche lavorando per migliorare la sicurezza per salvaguardare l'accesso futuro alle sue chiavi. Il team ha detto in una dichiarazione,
L'exploit è stato possibile in parte perché c'era un singolo punto di errore nella nostra chiave di sviluppo. Ora implementeremo l'autenticazione multi-sig per gli aggiornamenti che richiederanno l'approvazione da parte di tutti i custodi delle chiavi durante intervalli di tempo limitati, rendendo un futuro attacco di questo tipo estremamente difficile se non impossibile. Queste funzionalità miglioreranno la sicurezza per il nuovo contratto ankrBNB e tutti i token Ankr.
Inoltre, Ankr si è impegnata a migliorare le procedure delle risorse umane e imporrà che tutti i lavoratori, compresi quelli che lavorano da remoto, debbano affrontare maggiori controlli dei precedenti. Il team ha inoltre promesso di rivedere i privilegi di accesso per garantire che solo i dipendenti che hanno bisogno di accedere a informazioni critiche abbiano l'autorizzazione per accedervi. Il protocollo DeFi prevede inoltre di installare nuovi sistemi di notifica per avvisare più tempestivamente il personale in caso di problemi.
Ho raccontato alcune storie emozionanti nella mia carriera di giornalista e trovo le storie legate alla blockchain molto intriganti. Credo che Web3 cambierà il mondo e voglio che tutti ne facciano parte.
Ultime notizie
