Ankr 팀의 5월 1일 발표에 따르면 20월 XNUMX일 Ankr 프로토콜의 XNUMX만 달러 해킹은 이전 팀원에 의해 발생했습니다.
전직 직원은 "공급망 공격"을 수행했습니다. 퍼팅 팀의 내부 소프트웨어에 대한 향후 업데이트 패키지에 악성 코드를 추가합니다. 이 소프트웨어가 업데이트되면 악성 코드는 공격자가 회사 서버에서 팀의 배포자 키를 훔칠 수 있는 보안 취약점을 생성했습니다.
사후 보고서: aBNBc 토큰 익스플로잇에 대한 조사 결과
이에 대해 자세히 설명하는 새로운 블로그 게시물을 방금 발표했습니다. https://t.co/fyagjhODNG
— Ankr 스테이킹(@ankrstaking) 2022 년 12 월 20 일
이전에 팀은 익스플로잇이 도난당한 배포자 키로 인해 발생 프로토콜의 스마트 계약을 업그레이드하는 데 사용되었습니다. 그러나 당시 그들은 배포자 키가 어떻게 도난당했는지 설명하지 않았습니다.
Ankr는 지역 당국에 경고했으며 공격자를 재판에 회부하도록 시도하고 있습니다. 또한 향후 키에 대한 액세스를 보호하기 위해 보안 관행을 강화하려고 시도하고 있습니다.
Ankr에서 사용되는 것과 같은 업그레이드 가능한 계약은 단독 권한이 있는 "소유자 계정"의 개념에 의존합니다. 확인 주제에 대한 OpenZeppelin 튜토리얼에 따라 업그레이드합니다. 도난 위험 때문에 대부분의 개발자는 이러한 계약의 소유권을 그노시스 금고 또는 기타 다중 서명 계정으로 이전합니다. Ankr 팀은 과거에는 소유권을 위해 다중서명 계정을 사용하지 않았지만 앞으로는 그렇게 할 것이라고 말했습니다.
“개발자 키에 단일 실패 지점이 있었기 때문에 부분적으로 익스플로잇이 가능했습니다. 우리는 이제 제한된 시간 간격 동안 모든 주요 관리인의 사인오프가 필요한 업데이트에 대해 다중 서명 인증을 구현하여 이러한 유형의 향후 공격을 불가능하지는 않더라도 극도로 어렵게 만들 것입니다. 이러한 기능은 새로운 ankrBNB 계약과 모든 Ankr 토큰의 보안을 향상시킬 것입니다.”
Ankr은 또한 인적 자원 관행을 개선하겠다고 약속했습니다. 원격으로 일하는 직원을 포함하여 모든 직원에 대해 "단계적으로" 신원 조회를 요구하고 민감한 데이터가 필요한 직원만 액세스할 수 있도록 액세스 권한을 검토할 것입니다. 회사는 또한 무언가 잘못되었을 때 팀에 더 빨리 경고하기 위해 새로운 알림 시스템을 구현할 것입니다.
Ankr 프로토콜 해킹 처음 발견되었다 이를 통해 공격자는 1조 Ankr Reward Bearing Staked BNB(aBNBc)를 발행할 수 있었고, 이는 탈중앙화 거래소에서 USD 코인으로 약 20만 달러에 즉시 교환되었습니다(USDC) 그리고 이더리움에 연결됩니다. 팀은 익스플로잇의 영향을 받은 사용자에게 aBNBb 및 aBNBc 토큰을 재발행하고 이러한 새로운 토큰이 완전히 지원되도록 자체 자금에서 5만 달러를 지출할 계획이라고 밝혔습니다.
개발자는 또한 15만 달러를 HAY 스테이블 코인 교체, 익스플로잇으로 인해 담보가 부족해졌습니다.
출처: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security