Ankr obwinia byłego pracownika za $5 milionów exploitów
- Ankr wcześniej przyznał, że za atakiem stał skradziony klucz wdrażania, który został użyty do aktualizacji inteligentnych kontraktów protokołu. Nie ujawnił jednak, w jaki sposób w tamtym czasie uzyskano klucz instalatora.
Zespół Ankr, który 1 grudnia padł ofiarą włamania o wartości $5 mln, ogłosił na swojej stronie internetowej, że za atak na protokół odpowiedzialny był były pracownik. Platforma DeFi powiedział że były członek zespołu był w stanie przeprowadzić atak na łańcuch dostaw, umieszczając szkodliwy kod w pakiecie nadchodzących aktualizacji wewnętrznego oprogramowania zespołu. Złośliwy kod, po zaktualizowaniu, spowodował lukę w zabezpieczeniach, która dała atakującemu dostęp do serwera platformy i ukradła klucz zespołu wdrażającego.
Luka umożliwiła użytkownikowi wybicie 6 biliardów tokenów aBNBc haker szybko zamienione na Binance Coin (BNB) przed wysłaniem ich do Tornado Cash, usługi miksowania kryptowalut. Atakujący był w stanie wymienić tokeny BNB na 5 milionów USDC.
Ankr powiedział, że powiadomił odpowiednie władze i pracuje nad ściganiem napastnika. Zespół pracuje również nad poprawą bezpieczeństwa, aby zabezpieczyć przyszły dostęp do swoich kluczy. Zespół napisał w oświadczeniu,
Exploit był możliwy częściowo dlatego, że w naszym kluczu programisty był pojedynczy punkt awarii. Teraz zaimplementujemy uwierzytelnianie multi-sig dla aktualizacji, które będą wymagały podpisania przez wszystkich kluczowych opiekunów w określonych odstępach czasu, co sprawi, że przyszły atak tego typu będzie niezwykle trudny, jeśli nie niemożliwy. Te funkcje poprawią bezpieczeństwo nowego kontraktu ankrBNB i wszystkich tokenów Ankr.
Ponadto Ankr zobowiązał się do usprawnienia procedur HR i nakaże, aby wszyscy pracownicy, w tym ci, którzy pracują zdalnie, przechodzili wzmożone kontrole przeszłości. Zespół obiecał również dokonać przeglądu uprawnień dostępu, aby upewnić się, że tylko pracownicy, którzy potrzebują dostępu do krytycznych informacji, będą mieli zezwolenie na dostęp do nich. Protokół DeFi planuje również zainstalować nowe systemy powiadomień, aby szybciej powiadamiać personel w przypadku wystąpienia problemu.
Omówiłem kilka ekscytujących historii z mojej kariery dziennikarza i uważam, że historie związane z blockchainem są bardzo intrygujące. Wierzę, że Web3 zmieni świat i chce, aby wszyscy byli jego częścią.
Najnowsze wiadomości
