Ankr, Eski Çalışanı $5 Milyon Suistimalden Suçladı
- Ankr daha önce, saldırının arkasında protokolün akıllı sözleşmelerini güncellemek için kullanılan çalıntı bir dağıtım anahtarının olduğunu kabul etmişti. Ancak, konuşlandırma anahtarının o sırada nasıl elde edildiğini açıklamadı.
1 Aralık'ta $5 milyonluk bir hack'e maruz kalan Ankr ekibi, protokole yapılan saldırıdan eski bir çalışanın sorumlu olduğunu internet sitesinde duyurdu. DeFi platformu söz konusu eski ekip üyesinin, ekibin dahili yazılımına gelecek güncellemelerden oluşan bir pakete zararlı kod ekleyerek tedarik zinciri saldırısını gerçekleştirmeyi başardığı. Kötü amaçlı kod bir kez güncellendiğinde, saldırgana platformun sunucusuna erişim sağlayan ve ekibin konuşlandırma anahtarını çalan bir güvenlik açığı oluşturdu.
Kusur, bir kullanıcının 6 katrilyon aBNBc jetonu basmasını sağladı. bilgisayar korsanı bir kripto karıştırma hizmeti olan Tornado Cash'e gönderilmeden önce hızla Binance Coin'e (BNB) dönüştürülür. Saldırgan, BNB jetonlarını 5 milyon USDC karşılığında takas edebildi.
Ankr, ilgili makamları bilgilendirdiğini ve saldırganın yargılanması için çalıştığını söyledi. Ekip ayrıca, anahtarlarına gelecekteki erişimi korumak için güvenliği artırmak için çalışıyor. Ekip yaptığı açıklamada,
İstismar kısmen, geliştirici anahtarımızda tek bir hata noktası olduğu için mümkün oldu. Artık, zaman kısıtlamalı aralıklarla tüm kilit sorumluların oturumu kapatmasını gerektirecek güncellemeler için çoklu imza kimlik doğrulaması uygulayacağız ve bu, gelecekte bu türden bir saldırıyı imkansız değilse de son derece zor hale getirecektir. Bu özellikler, yeni ankrBNB sözleşmesi ve tüm Ankr tokenleri için güvenliği artıracaktır.
Ayrıca Ankr, İK prosedürlerini iyileştirme taahhüdünde bulundu ve uzaktan çalışanlar da dahil olmak üzere tüm çalışanların daha fazla özgeçmiş kontrolüne tabi tutulmasını zorunlu kılacak. Ekip ayrıca, yalnızca kritik bilgilere erişmesi gereken çalışanların bu bilgilere erişme yetkisine sahip olmasını sağlamak için erişim ayrıcalıklarını gözden geçirme sözü verdi. DeFi protokolü, bir sorun meydana geldiğinde personeli daha çabuk bilgilendirmek için yeni bildirim sistemleri kurmayı da planlıyor.
Bir gazeteci olarak kariyerimde bazı heyecan verici hikayeleri ele aldım ve blockchain ile ilgili hikayeleri çok ilgi çekici buluyorum. Web3'ün dünyayı değiştireceğine ve herkesin bunun bir parçası olmasını isteyeceğine inanıyorum.
