5-р сарын 1-ний өдөр Ankr протоколыг 20 сая долларын хакердсан нь багийн гишүүн байсан хүнээс болсон гэж Ankr багийн XNUMX-р сарын XNUMX-нд мэдэгджээ.
Хуучин ажилтан нь "нийлүүлэлтийн сүлжээний халдлага" хийсэн оруулах Багийн дотоод программ хангамжийн ирээдүйн шинэчлэлтүүдийн багц болгон хортой код. Энэ программ хангамжийг шинэчилсний дараа хортой код нь аюулгүй байдлын эмзэг байдлыг үүсгэснээр халдагчид багийн байршуулагчийн түлхүүрийг компанийн серверээс хулгайлах боломжийг олгосон.
Үйлдлийн дараах тайлан: aBNBc жетон ашиглалтаас олж авсан бидний үр дүн
Бид саяхан энэ талаар гүнзгийрүүлсэн шинэ блог нийтлэлийг гаргалаа: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) Арванхоёрдугаар сар 20, 2022
Өмнө нь баг нь мөлжлөг гэж зарлаж байсан хулгайлагдсан байршуулагч түлхүүрээс үүдэлтэй протоколын ухаалаг гэрээг шинэчлэхэд ашигласан. Гэвч тухайн үед тэд байршуулагчийн түлхүүрийг хэрхэн хулгайлсан талаар тайлбарлаагүй байна.
Анкр орон нутгийн эрх баригчдад анхааруулж, халдагчийг шүүхэд өгөхийг оролдож байна. Мөн ирээдүйд түлхүүрүүддээ хандах хандалтыг хамгаалахын тулд аюулгүй байдлын арга барилаа сайжруулахыг оролдож байна.
Ankr-д ашигладаг шиг сайжруулж болох гэрээнүүд нь цорын ганц эрх мэдэл бүхий "эзэмшигч данс" гэсэн ойлголт дээр тулгуурладаг. хийх Энэ сэдвээр OpenZeppelin-ийн зааварчилгааны дагуу шинэчлэлтүүд. Хулгайлах эрсдэлтэй тул ихэнх хөгжүүлэгчид эдгээр гэрээний өмчлөлийг gnosis сейф эсвэл бусад олон гарын үсэгтэй данс руу шилжүүлдэг. Ankr багийнхан өмнө нь өмчлөхдөө multisig данс ашиглаагүй боловч одооноос үүнийг хийх болно гэж мэдэгдээд:
“Манай хөгжүүлэгчийн түлхүүрийн алдаа ганц цэг байсан учраас энэ мөлжлөг нь зарим талаар боломжтой байсан. Бид одоо бүх гол асран хамгаалагчдаас цаг хугацааны хязгаарлагдмал хугацаанд гарын үсэг зурах шаардлагатай шинэчлэлтүүдэд олон тэмдэгт нэвтрэлт танилтыг хэрэгжүүлэх бөгөөд энэ төрлийн ирээдүйн халдлагыг боломжгүй юм бол маш хэцүү болгоно. Эдгээр функцууд нь шинэ ankrBNB гэрээ болон бүх Ankr жетонуудын аюулгүй байдлыг сайжруулах болно."
Анкр мөн хүний нөөцийн үйл ажиллагааг сайжруулахаа амласан. Энэ нь бүх ажилчдад, тэр ч байтугай алсаас ажилладаг ажилтнуудад "дэвшүүлсэн" суурь шалгалтыг шаардах бөгөөд нууц мэдээлэлд зөвхөн шаардлагатай ажилчид хандах боломжтой эсэхийг шалгахын тулд нэвтрэх эрхийг шалгах болно. Мөн компани нь ямар нэг зүйл буруу болоход багийнханд илүү хурдан мэдэгдэхийн тулд шинэ мэдэгдлийн системийг нэвтрүүлэх болно.
Ankr протоколыг хакердсан анх нээгдсэн 1-р сарын 20. Энэ нь халдагчдад 5 их наяд Ankr Reward Bearing Staked BNB (aBNBc) гаргах боломжийг олгосон бөгөөд үүнийг төвлөрсөн бус бирж дээр даруй XNUMX сая ам.долларын зоосоор сольсон.USDC) болон Ethereum руу гүүртэй. Тус багийнхан мөлжлөгт өртсөн хэрэглэгчдэдээ aBNBb болон aBNBc токенуудаа дахин гаргахаар төлөвлөж байгаа бөгөөд эдгээр шинэ жетонуудыг бүрэн баталгаажуулахын тулд өөрийн төрийн сангаас 5 сая доллар зарцуулахаар төлөвлөж байгаагаа мэдэгдэв.
Хөгжүүлэгч нь мөн 15 сая доллар байршуулсан HAY stablecoin-ийг давт, энэ нь ашиглалтын улмаас дутуу барьцаалагдсан.
Эх сурвалж: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security