Peretasan $ 5 juta dari protokol Ankr pada 1 Desember disebabkan oleh mantan anggota tim, menurut pengumuman 20 Desember dari tim Ankr.
Mantan karyawan tersebut melakukan "serangan rantai pasokan" oleh menempatkan kode berbahaya ke dalam paket pembaruan di masa mendatang untuk perangkat lunak internal tim. Setelah perangkat lunak ini diperbarui, kode jahat menciptakan kerentanan keamanan yang memungkinkan penyerang mencuri kunci pengerahan tim dari server perusahaan.
Laporan Setelah Tindakan: Temuan Kami Dari Eksploitasi Token aBNBc
Kami baru saja merilis posting blog baru yang membahas secara mendalam tentang ini: https://t.co/fyagjhODNG
— Taruhan Ankr (@ankrstaking) Desember 20, 2022
Sebelumnya, tim telah mengumumkan bahwa eksploit itu disebabkan oleh kunci penyebar yang dicuri yang digunakan untuk memutakhirkan kontrak pintar protokol. Tetapi pada saat itu, mereka tidak menjelaskan bagaimana kunci penyebar dicuri.
Ankr telah memberi tahu otoritas lokal dan berusaha agar penyerang dibawa ke pengadilan. Itu juga berusaha untuk menopang praktik keamanannya untuk melindungi akses ke kuncinya di masa depan.
Kontrak yang dapat ditingkatkan seperti yang digunakan di Ankr bergantung pada konsep "akun pemilik" yang memiliki otoritas tunggal membuat upgrade, menurut tutorial OpenZeppelin pada subjek. Karena risiko pencurian, sebagian besar pengembang mengalihkan kepemilikan kontrak ini ke brankas gnosis atau akun multisignature lainnya. Tim Ankr mengatakan bahwa mereka tidak menggunakan akun multisig untuk kepemilikan di masa lalu, tetapi akan melakukannya mulai sekarang, dengan menyatakan:
Eksploitasi itu mungkin terjadi sebagian karena ada satu titik kegagalan dalam kunci pengembang kami. Kami sekarang akan menerapkan autentikasi multi-sig untuk pembaruan yang memerlukan penutupan dari semua penjaga kunci selama interval yang dibatasi waktu, membuat serangan jenis ini di masa mendatang menjadi sangat sulit jika bukan tidak mungkin. Fitur-fitur ini akan meningkatkan keamanan untuk kontrak ankrBNB baru dan semua token Ankr.”
Ankr juga berjanji untuk meningkatkan praktik sumber daya manusia. Ini akan membutuhkan pemeriksaan latar belakang yang "ditingkatkan" untuk semua karyawan, bahkan yang bekerja dari jarak jauh, dan akan meninjau hak akses untuk memastikan bahwa data sensitif hanya dapat diakses oleh pekerja yang membutuhkannya. Perusahaan juga akan menerapkan sistem notifikasi baru untuk memperingatkan tim lebih cepat ketika terjadi kesalahan.
Peretasan protokol Ankr pertama kali ditemukan pada 1 Desember. Hal ini memungkinkan penyerang mencetak 20 triliun Ankr Reward Bearing Staked BNB (aBNBc), yang segera ditukar di bursa terdesentralisasi dengan sekitar $5 juta dalam USD Coin (USDC) dan dijembatani ke Ethereum. Tim telah menyatakan bahwa mereka berencana untuk menerbitkan ulang token aBNBb dan aBNBc kepada pengguna yang terpengaruh oleh eksploitasi dan membelanjakan $5 juta dari perbendaharaannya sendiri untuk memastikan token baru ini didukung sepenuhnya.
Pengembang juga telah mengerahkan $ 15 juta untuk ulangi stablecoin HAY, yang menjadi undercollateralized karena eksploitasi.
Sumber: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security