Ankr culpa o ex-funcionário pelo exploit de $5 milhões
- A Ankr já havia reconhecido que uma chave de implantação roubada, usada para atualizar os contratos inteligentes do protocolo, foi a responsável pelo ataque. No entanto, na ocasião, a empresa não revelou como obteve a chave.
A equipe da Ankr, que sofreu um ataque hacker de 1.405 milhões de tokens em 1º de dezembro, anunciou em seu site que um ex-funcionário foi o responsável pelo ataque ao protocolo. A plataforma DeFi disse que o ex-membro da equipe conseguiu realizar o ataque à cadeia de suprimentos inserindo um código malicioso em um pacote de atualizações futuras do software interno da equipe. O código malicioso, uma vez atualizado, criou uma falha de segurança que deu ao invasor acesso ao servidor da plataforma e roubou a chave de implantação da equipe.
A falha permitiu que um usuário cunhasse 6 quatrilhões de tokens aBNBc, que o hacker rapidamente convertidos em Binance Coin (BNB) antes de enviá-los para o Tornado Cash, um serviço de mixagem de criptomoedas. O invasor conseguiu trocar os tokens BNB por 5 milhões de USDC.
A Ankr afirmou ter notificado as autoridades competentes e estar trabalhando para que o agressor seja processado. A equipe também está trabalhando para aprimorar a segurança e proteger o acesso futuro às suas chaves. A equipe declarou em um comunicado:,
A exploração foi possível em parte porque havia um único ponto de falha em nossa chave de desenvolvedor. Agora vamos implementar a autenticação multi-sig para atualizações que exigirão a aprovação de todos os responsáveis pela chave durante intervalos de tempo restrito, tornando um ataque futuro desse tipo extremamente difícil, se não impossível. Esses recursos melhorarão a segurança do novo contrato ankrBNB e de todos os tokens Ankr.
Além disso, a Ankr se comprometeu a aprimorar os procedimentos de RH e exigirá que todos os funcionários, inclusive os que trabalham remotamente, passem por verificações de antecedentes mais rigorosas. A equipe também prometeu revisar os privilégios de acesso para garantir que apenas os funcionários que precisam acessar informações críticas tenham permissão para fazê-lo. O protocolo DeFi também planeja instalar novos sistemas de notificação para avisar a equipe mais rapidamente caso ocorra algum problema.
Cobri algumas histórias interessantes em minha carreira como jornalista e acho as histórias relacionadas ao blockchain muito intrigantes. Acredito que a Web3 vai mudar o mundo e quero que todos façam parte dele.
