Un exmiembro del equipo provocó un pirateo de $ 5 millones del protocolo Ankr el 1 de diciembre, según un anuncio del equipo de Ankr del 20 de diciembre.
El ex empleado realizó un “ataque a la cadena de suministro” por puesta código malicioso en un paquete de futuras actualizaciones del software interno del equipo. Una vez que se actualizó este software, el código malicioso creó una vulnerabilidad de seguridad que permitió al atacante robar la clave de implementación del equipo del servidor de la empresa.
Informe posterior a la acción: nuestros hallazgos de la explotación del token aBNBc
Acabamos de publicar una nueva publicación de blog que profundiza sobre esto: https://t.co/fyagjhODNG
— Replanteo de Ankr (@ankrstaking) 20 de diciembre de 2022
Previamente, el equipo había anunciado que el exploit era causado por una clave de implementación robada que se utilizó para actualizar los contratos inteligentes del protocolo. Pero en ese momento, no habían explicado cómo se había robado la clave del implementador.
Ankr ha alertado a las autoridades locales y está intentando que el atacante sea llevado ante la justicia. También está intentando reforzar sus prácticas de seguridad para proteger el acceso a sus claves en el futuro.
Los contratos actualizables como los que se usan en Ankr se basan en el concepto de una "cuenta de propietario" que tiene la autoridad exclusiva para para lograr actualizaciones, según un tutorial de OpenZeppelin sobre el tema. Debido al riesgo de robo, la mayoría de los desarrolladores transfieren la propiedad de estos contratos a una cuenta segura de gnosis u otra cuenta multifirma. El equipo de Ankr dijo que no usó una cuenta multisig para la propiedad en el pasado, pero lo hará a partir de ahora, afirmando:
“La explotación fue posible en parte porque hubo un único punto de falla en nuestra clave de desarrollador. Ahora implementaremos la autenticación de varias firmas para las actualizaciones que requerirán la aprobación de todos los custodios de claves durante intervalos de tiempo restringido, lo que hará que un ataque futuro de este tipo sea extremadamente difícil, si no imposible. Estas características mejorarán la seguridad del nuevo contrato ankrBNB y todos los tokens de Ankr".
Ankr también se comprometió a mejorar las prácticas de recursos humanos. Requerirá verificaciones de antecedentes "escaladas" para todos los empleados, incluso los que trabajan de forma remota, y revisará los derechos de acceso para asegurarse de que solo los trabajadores que lo necesiten puedan acceder a los datos confidenciales. La empresa también implementará nuevos sistemas de notificación para alertar al equipo más rápidamente cuando algo sale mal.
El truco del protocolo Ankr fue descubierto por primera vez el 1 de diciembre. Permitió al atacante acuñar 20 billones de Ankr Reward Bearing Staked BNB (aBNBc), que se intercambió inmediatamente en intercambios descentralizados por alrededor de $ 5 millones en USD Coin (USDC) y conectado a Ethereum. El equipo ha declarado que planea volver a emitir sus tokens aBNBb y aBNBc a los usuarios afectados por el exploit y gastar $5 millones de su propia tesorería para garantizar que estos nuevos tokens estén totalmente respaldados.
El desarrollador también ha desplegado $15 millones para repetir la moneda estable HAY, que quedó sin garantía debido al exploit.
Fuente: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security