Ankr обвиняет бывшего сотрудника в $5 миллионном подвиге
- Ankr ранее признал, что за атакой стоял украденный ключ развертывания, который использовался для обновления смарт-контрактов протокола. Однако в то время не было раскрыто, как был получен ключ развертывания.
Команда Ankr, которая 1 декабря подверглась взлому на сумму $5 млн, объявила на своем веб-сайте, что за атаку на протокол несет ответственность бывший сотрудник. Платформа DeFi сказал что бывший член команды смог провести атаку на цепочку поставок, вставив вредоносный код в пакет предстоящих обновлений внутреннего программного обеспечения команды. Вредоносный код после обновления создал брешь в системе безопасности, которая дала злоумышленнику доступ к серверу платформы и похитила ключ развертывания команды.
Уязвимость позволила пользователю создать 6 квадриллионов токенов aBNBc. хакер быстро конвертируются в Binance Coin (BNB) перед отправкой их в Tornado Cash, службу микширования криптовалюты. Злоумышленник смог обменять токены BNB на 5 миллионов долларов США.
Ankr заявил, что уведомил соответствующие органы и работает над привлечением злоумышленника к ответственности. Команда также работает над повышением безопасности, чтобы защитить будущий доступ к своим ключам. Об этом говорится в заявлении команды.
Эксплойт стал возможен отчасти потому, что в нашем ключе разработчика была единственная точка отказа. Теперь мы будем реализовывать аутентификацию с несколькими подписями для обновлений, которые потребуют выхода от всех хранителей ключей в течение ограниченных по времени интервалов, что делает будущие атаки такого типа чрезвычайно трудными, если не невозможными. Эти функции повысят безопасность нового контракта ankrBNB и всех токенов Ankr.
Кроме того, Ankr пообещал усовершенствовать кадровые процедуры и обязать всех работников, в том числе тех, кто работает удаленно, подвергаться усиленным проверкам биографических данных. Команда также пообещала пересмотреть права доступа, чтобы гарантировать, что только сотрудники, которым нужен доступ к важной информации, будут иметь доступ к ней. Протокол DeFi также планирует установить новые системы уведомлений, чтобы быстрее уведомлять персонал в случае возникновения проблемы.
За свою журналистскую карьеру я освещал несколько интересных историй и считаю истории, связанные с блокчейном, очень интригующими. Я верю, что Web3 изменит мир, и хочу, чтобы каждый стал его частью.
