अंकर टीम की ओर से 5 दिसंबर की घोषणा के अनुसार, 1 दिसंबर को अंकर प्रोटोकॉल का $ 20 मिलियन हैक टीम के एक पूर्व सदस्य के कारण हुआ था।
पूर्व कर्मचारी ने "सप्लाई चेन अटैक" किया डाल टीम के आंतरिक सॉफ़्टवेयर के भावी अद्यतनों के पैकेज में दुर्भावनापूर्ण कोड। एक बार जब यह सॉफ़्टवेयर अपडेट हो गया, तो दुर्भावनापूर्ण कोड ने एक सुरक्षा भेद्यता पैदा की जिसने हमलावर को कंपनी के सर्वर से टीम की डिप्लॉयर कुंजी चुराने की अनुमति दी।
एक्शन रिपोर्ट के बाद: एबीएनबीसी टोकन एक्सप्लॉइट से हमारी खोज
हमने अभी एक नया ब्लॉग पोस्ट जारी किया है जो इस बारे में गहराई से बताता है: https://t.co/fyagjhODNG
- अंकर स्टेकिंग (@ankrstakeing) दिसम्बर 20/2022
इससे पहले, टीम ने घोषणा की थी कि शोषण किया गया था एक चोरी की तैनाती कुंजी के कारण जिसका उपयोग प्रोटोकॉल के स्मार्ट अनुबंधों को अपग्रेड करने के लिए किया गया था। लेकिन उस समय, उन्होंने यह नहीं बताया था कि डिप्लॉयर की चोरी कैसे हुई।
अंकर ने स्थानीय अधिकारियों को सतर्क कर दिया है और हमलावर को न्याय दिलाने का प्रयास कर रहा है। यह भविष्य में अपनी चाबियों तक पहुंच को सुरक्षित रखने के लिए अपनी सुरक्षा प्रथाओं को किनारे करने का भी प्रयास कर रहा है।
अंकर में उपयोग किए जाने वाले अपग्रेड करने योग्य अनुबंध एक "मालिक खाते" की अवधारणा पर निर्भर करते हैं जिसका एकमात्र अधिकार है बनाना उन्नयन, विषय पर एक OpenZeppelin ट्यूटोरियल के अनुसार। चोरी के जोखिम के कारण, अधिकांश डेवलपर इन अनुबंधों के स्वामित्व को ग्नोसिस सेफ या अन्य बहु-हस्ताक्षर खाते में स्थानांतरित कर देते हैं। अंकर टीम ने कहा कि उसने अतीत में स्वामित्व के लिए मल्टीसिग खाते का उपयोग नहीं किया था, लेकिन अब से यह कहते हुए ऐसा करेगी:
"शोषण आंशिक रूप से संभव था क्योंकि हमारी डेवलपर कुंजी में विफलता का एक बिंदु था। अब हम अपडेट के लिए मल्टी-सिग ऑथेंटिकेशन लागू करेंगे, जिसके लिए समय-प्रतिबंधित अंतराल के दौरान सभी प्रमुख संरक्षकों से साइनऑफ़ की आवश्यकता होगी, इस प्रकार के भविष्य के हमले को असंभव नहीं तो बेहद मुश्किल बना देगा। ये सुविधाएँ नए ankrBNB अनुबंध और सभी Ankr टोकन के लिए सुरक्षा में सुधार करेंगी।"
अंकर ने मानव संसाधन प्रथाओं में सुधार करने की भी कसम खाई है। इसके लिए सभी कर्मचारियों, यहां तक कि दूरस्थ रूप से काम करने वाले कर्मचारियों के लिए "बढ़ी हुई" पृष्ठभूमि की जांच की आवश्यकता होगी, और यह सुनिश्चित करने के लिए एक्सेस अधिकारों की समीक्षा करेगा कि संवेदनशील डेटा केवल उन श्रमिकों द्वारा ही एक्सेस किया जा सकता है जिन्हें इसकी आवश्यकता है। कुछ गलत होने पर टीम को अधिक तेज़ी से सतर्क करने के लिए कंपनी नई अधिसूचना प्रणाली भी लागू करेगी।
अंकर प्रोटोकॉल हैक पहली बार खोजा गया था 1 दिसंबर को इसने हमलावर को 20 ट्रिलियन अंकर रिवार्ड बियरिंग स्टेक बीएनबी (एबीएनबीसी) बनाने की अनुमति दी, जिसे तुरंत विकेंद्रीकृत एक्सचेंजों पर यूएसडी कॉइन में लगभग $ 5 मिलियन के लिए स्वैप किया गया था (USDC) और एथेरियम के लिए ब्रिज किया गया। टीम ने कहा है कि वह शोषण से प्रभावित उपयोगकर्ताओं को अपने aBNBb और aBNBc टोकन फिर से जारी करने की योजना बना रही है और यह सुनिश्चित करने के लिए अपने स्वयं के खजाने से $5 मिलियन खर्च करेगी कि ये नए टोकन पूरी तरह से समर्थित हैं।
डेवलपर ने $ 15 मिलियन भी तैनात किए हैं HAY स्थिर मुद्रा को पुनः प्राप्त करें, जो शोषण के कारण कम जमानतदार हो गया।
स्रोत: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security