Abenduaren 5ean Ankr protokoloaren 1 milioi dolarreko hackea taldekide ohi batek eragin zuen, abenduaren 20an Ankr taldearen iragarpen baten arabera.
Langile ohiak "hornikuntza katearen erasoa" egin zuen jarriz kode gaiztoa taldearen barneko softwarearen etorkizuneko eguneratze pakete batean. Software hau eguneratu ondoren, maltzurren kodeak segurtasun ahultasun bat sortu zuen, erasotzaileak taldearen inplementatzailearen gakoa lapurtzeko aukera eman zion konpainiaren zerbitzaritik.
Ekintzaren ostean txostena: gure aurkikuntzak aBNBc Token Exploit-etik
Honi buruz sakontzen duen blog-argitalpen berri bat kaleratu berri dugu: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) Abenduaren 20, 2022
Aurretik, ustiapena zela iragarri zuen taldeak inplementatzaile-giltza lapurtu batek eragindakoa hori erabili zen protokoloaren smart contracts berritzeko. Baina garai hartan, ez zuten azaldu hedatzailearen giltza nola lapurtu zuten.
Ankr-ek tokiko agintariei abisua eman die eta erasotzailea justiziaren esku jartzen saiatzen ari da. Gainera, bere segurtasun praktikak indartzen saiatzen ari da etorkizunean bere giltzetarako sarbidea babesteko.
Ankr-en erabiltzen diren bezala berritu daitezkeen kontratuek "jabe-kontu" kontzeptuan oinarritzen dira, eskumen bakarra duena. egiteko eguneratzeak, gaiari buruzko OpenZeppelin tutorial baten arabera. Lapurtzeko arriskua dela eta, garatzaile gehienek kontratu horien jabetza gnosis seguru batera edo sinadura anitzeko beste kontu batera transferitzen dute. Ankr taldeak esan zuen iraganean ez zuela multisig konturik erabili jabetzarako, baina hemendik aurrera egingo duela adierazi zuen:
"Ustiaketa posible izan zen, neurri batean, gure garatzaileen gakoan hutsegite puntu bakarra zegoelako. Orain sinadura anitzeko autentifikazioa ezarriko dugu denbora mugatutako tarteetan gakoen zaindari guztien onarpena eskatuko duten eguneraketetarako, eta etorkizuneko mota honetako erasoa oso zaila izango da, ezinezkoa ez bada. Ezaugarri hauek segurtasuna hobetuko dute ankrBNB kontratu berrirako eta Ankr token guztientzat".
Ankr-ek giza baliabideen praktikak hobetuko dituela ere zin egin du. Langile guztien atzeko kontrol "eskalatuak" eskatuko ditu, baita urrunetik lan egiten dutenentzat ere, eta sarbide-eskubideak berrikusiko ditu datu sentikorrak behar duten langileek soilik atzi ditzaketela ziurtatzeko. Konpainiak jakinarazpen sistema berriak ere ezarriko ditu taldeari zerbait gaizki gertatzen denean azkarrago abisatzeko.
Ankr protokoloaren hackea aurkitu zen lehen aldiz Abenduaren 1ean. Erasotzaileari 20 bilioi Ankr Reward Bearing Staked BNB (aBNBc) ateratzeko aukera eman zion, eta berehala truke deszentralizatuetan trukatu zuten USDko txanponetan 5 milioi dolar ingururen truke (USDC) eta Ethereum-era zubia. Taldeak adierazi du bere aBNBb eta aBNBc tokenak berriro jaulkitzeko asmoa duela ustiapenak eragindako erabiltzaileei eta bere altxortegitik 5 milioi dolar gastatzea token berri hauek guztiz babestuta daudela ziurtatzeko.
Garatzaileak 15 milioi dolar ere zabaldu ditu repeg HAY stablecoin, ustiapenaren ondorioz gutxietsita geratu zena.
Iturria: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security