حدث اختراق لبروتوكول أنكر بقيمة 5 ملايين دولار في الأول من ديسمبر من قبل عضو سابق في الفريق ، وفقًا لإعلان صدر في 1 ديسمبر من فريق أنكر.
أجرى الموظف السابق "هجوم سلسلة التوريد" من قبل وضع تعليمات برمجية ضارة في حزمة من التحديثات المستقبلية للبرامج الداخلية للفريق. بمجرد تحديث هذا البرنامج ، خلقت الشفرة الضارة ثغرة أمنية سمحت للمهاجم بسرقة مفتاح نشر الفريق من خادم الشركة.
تقرير ما بعد الإجراء: نتائجنا من استغلال رمز aBNBc
لقد أصدرنا للتو منشور مدونة جديد يتعمق في هذا الموضوع: https://t.co/fyagjhODNG
- Ankr Staking (ankrstaking) 20 كانون الأول، 2022
في السابق ، أعلن الفريق أن الثغرة كانت بسبب مفتاح نشر مسروق التي تم استخدامها لترقية العقود الذكية للبروتوكول. لكن في ذلك الوقت ، لم يشرحوا كيف سُرق مفتاح النشر.
نبه أنكر السلطات المحلية ويحاول تقديم المهاجم إلى العدالة. كما تحاول تعزيز ممارساتها الأمنية لحماية الوصول إلى مفاتيحها في المستقبل.
تعتمد العقود القابلة للترقية مثل تلك المستخدمة في Ankr على مفهوم "حساب المالك" الذي يتمتع بسلطة فردية جعل ترقيات ، وفقًا لبرنامج OpenZeppelin التعليمي حول هذا الموضوع. نظرًا لخطر السرقة ، ينقل معظم المطورين ملكية هذه العقود إلى حساب gnosis الآمن أو حساب متعدد التوقيعات. قال فريق Ankr إنه لم يستخدم حساب multisig للملكية في الماضي ولكنه سيفعل ذلك من الآن فصاعدًا ، قائلاً:
"كان الاستغلال ممكنًا جزئيًا بسبب وجود نقطة فشل واحدة في مفتاح المطور الخاص بنا. سنقوم الآن بتنفيذ مصادقة متعددة التوقيع للتحديثات التي ستتطلب تسجيل الخروج من جميع الأمناء الرئيسيين خلال فترات زمنية محددة ، مما يجعل هجومًا مستقبليًا من هذا النوع صعبًا للغاية إن لم يكن مستحيلًا. ستعمل هذه الميزات على تحسين الأمان لعقد ankrBNB الجديد وجميع رموز Ankr ".
كما تعهد أنكر بتحسين ممارسات الموارد البشرية. سيتطلب إجراء فحوصات خلفية "تصعيدية" لجميع الموظفين ، حتى أولئك الذين يعملون عن بُعد ، وسيراجع حقوق الوصول للتأكد من أنه لا يمكن الوصول إلى البيانات الحساسة إلا من قبل العمال الذين يحتاجون إليها. ستقوم الشركة أيضًا بتطبيق أنظمة إعلام جديدة لتنبيه الفريق بسرعة أكبر عند حدوث خطأ ما.
اختراق بروتوكول انكر تم اكتشافه لأول مرة في الأول من كانون الأول (ديسمبر) ، سمح للمهاجم بسك 1 تريليون دولار من عملة Ankr Reward Bearing Staked BNB (aBNBc) ، والتي تم استبدالها فورًا في البورصات اللامركزية بحوالي 20 ملايين دولار من العملات المعدنية بالدولار الأمريكي (USDC) وجسر إلى Ethereum. صرح الفريق بأنه يخطط لإعادة إصدار الرموز المميزة aBNBb و aBNBc للمستخدمين المتأثرين بالاستغلال وإنفاق 5 ملايين دولار من الخزانة الخاصة به لضمان دعم هذه الرموز الجديدة بالكامل.
قام المطور أيضًا بنشر 15 مليون دولار لـ أعد ربط عملة HAY المستقرة، والتي أصبحت غير مضمونة بسبب استغلالها.
المصدر: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security