Ankr culpa o ex-funcionário pelo exploit de $5 milhões
- Ankr reconheceu anteriormente que uma chave de implantador roubada usada para atualizar os contratos inteligentes do protocolo estava por trás do ataque. No entanto, não revelou como a chave do implantador foi obtida na época.
A equipe Ankr, que em 1º de dezembro sofreu um hack de $5 milhões, anunciou em seu site que um ex-funcionário foi o responsável pelo ataque ao protocolo. A plataforma DeFi disse que o ex-membro da equipe conseguiu realizar o ataque à cadeia de suprimentos inserindo um código prejudicial em um pacote de atualizações futuras do software interno da equipe. O código malicioso, uma vez atualizado, produziu uma falha de segurança que deu ao invasor acesso ao servidor da plataforma e roubou a chave de implantação da equipe.
A falha permitiu que um usuário cunhasse 6 quatrilhões de tokens aBNBc, que o hacker rapidamente convertidos em Binance Coin (BNB) antes de enviá-los para o Tornado Cash, um serviço de mixagem de criptomoedas. O invasor conseguiu trocar os tokens BNB por 5 milhões de USDC.
Ankr disse que notificou as autoridades apropriadas e está trabalhando para que o atacante seja processado. A equipe também está trabalhando para melhorar a segurança para proteger o acesso futuro às suas chaves. A equipe disse em um comunicado,
A exploração foi possível em parte porque havia um único ponto de falha em nossa chave de desenvolvedor. Agora vamos implementar a autenticação multi-sig para atualizações que exigirão a aprovação de todos os responsáveis pela chave durante intervalos de tempo restrito, tornando um ataque futuro desse tipo extremamente difícil, se não impossível. Esses recursos melhorarão a segurança do novo contrato ankrBNB e de todos os tokens Ankr.
Além disso, a Ankr prometeu aprimorar os procedimentos de RH e exigirá que todos os trabalhadores, incluindo aqueles que trabalham remotamente, enfrentem verificações de antecedentes cada vez maiores. A equipe também prometeu revisar os privilégios de acesso para garantir que apenas os funcionários que precisam acessar informações críticas tenham autorização para acessá-las. O protocolo DeFi também planeja instalar novos sistemas de notificação para notificar a equipe mais prontamente se ocorrer algum problema.
Cobri algumas histórias interessantes em minha carreira como jornalista e acho as histórias relacionadas ao blockchain muito intrigantes. Acredito que a Web3 vai mudar o mundo e quero que todos façam parte dele.
