Ankr geeft ex-werknemer de schuld van $5 miljoen uitbuiting
- Ankr erkende eerder dat een gestolen implementatiesleutel die werd gebruikt om de slimme contracten van het protocol bij te werken, achter de aanval zat. Het onthulde echter niet hoe de Deployer-sleutel op dat moment werd verkregen.
Het Ankr-team, dat op 1 december een hack van $5 miljoen opliep, heeft op zijn website aangekondigd dat een voormalige medewerker verantwoordelijk was voor de aanval op het protocol. Het DeFi-platform gezegd dat het voormalige teamlid de supply chain-aanval kon uitvoeren door schadelijke code in te voegen in een pakket met aanstaande updates van de interne software van het team. Nadat de kwaadaardige code was bijgewerkt, veroorzaakte hij een beveiligingsfout waardoor de aanvaller toegang kreeg tot de server van het platform en de sleutel van het team werd gestolen.
Door de fout kon een gebruiker 6 biljard aBNBc-tokens slaan, wat de hacker snel omgezet in Binance Coin (BNB) voordat ze naar Tornado Cash, een crypto-mixservice, worden gestuurd. De aanvaller kon de BNB-tokens omwisselen voor 5 miljoen USDC.
Ankr zei dat het de juiste autoriteiten op de hoogte heeft gebracht en eraan werkt om de aanvaller te laten vervolgen. Het team werkt ook aan het verbeteren van de beveiliging om toekomstige toegang tot de sleutels te waarborgen. Het team zei in een verklaring,
De exploit was deels mogelijk omdat er een single point of failure was in onze ontwikkelaarssleutel. We zullen nu multi-sig-authenticatie implementeren voor updates waarvoor goedkeuring van alle sleutelbewaarders nodig is gedurende tijdgebonden intervallen, waardoor een toekomstige aanval van dit type uiterst moeilijk, zo niet onmogelijk wordt. Deze functies zullen de beveiliging van het nieuwe ankrBNB-contract en alle Ankr-tokens verbeteren.
Bovendien heeft Ankr toegezegd de HR-procedures te verbeteren en zal het verplicht stellen dat alle werknemers, ook degenen die op afstand werken, meer antecedentenonderzoeken ondergaan. Het team beloofde ook de toegangsrechten te herzien om ervoor te zorgen dat alleen werknemers die toegang tot kritieke informatie nodig hebben, toestemming krijgen om er toegang toe te krijgen. Het DeFi-protocol is ook van plan nieuwe meldingssystemen te installeren om het personeel sneller op de hoogte te stellen als er zich een probleem voordoet.
Ik heb een aantal spannende verhalen in mijn carrière als journalist behandeld en vind blockchain-gerelateerde verhalen erg intrigerend. Ik geloof dat Web3 de wereld zal veranderen en ik wil dat iedereen er deel van uitmaakt.
Laatste nieuws
