该小组已向有关当局发出警报,并寻求起诉袭击者,加强他们的安全措施。
根据Ankr团队12月20日的公告,12月1日针对Ankr协议的500万美元黑客攻击是由一名前团队成员造成的。
这位前员工通过将恶意代码放入团队内部软件的未来更新包中,实施了“供应链攻击”。更新此软件后,恶意代码创建了一个安全漏洞,使得攻击者能够从公司的服务器上窃取团队的部署程序密钥。
事后报告:我们从aBNBc令牌漏洞中吸取了教训
发现
我们刚刚发表了一篇新的博文,深入探讨了这一点:-ankers taking(@ ankrstaking)2022年12月20日。
此前,该团队宣布,该漏洞是由用于升级协议智能合约的被盗部署程序密钥引起的。但当时,他们没有解释部署程序密钥是如何被盗的。
Ankr已向地方当局报警,并试图将袭击者绳之以法。它还试图加强其安全措施,以保护未来访问其密钥。
根据OpenZeppelin关于这个主题的教程,类似Ankr中使用的可升级合同依赖于“所有者帐户”的概念,所有者帐户拥有唯一的升级权。由于存在被盗的风险,大多数开发者将这些合同的所有权转移到gnosis safe或其他多签名账户。Ankr小组表示,它过去没有使用多签名帐户来获得所有权,但从现在开始将会这样做,并指出:
“这种利用是可能的,部分原因是我们的开发人员密钥中存在单点故障。我们现在将对需要在限定时间间隔内由所有密钥保管人签名的更新实施多重签名认证,这使得将来很难(如果不是不可能的话)进行此类攻击。这些特性将提高新ankrBNB契约和所有Ankr令牌的安全性。
Ankr还发誓要改善人力资源的做法。它将要求对所有员工进行“升级”的背景调查,甚至包括那些远程工作的员工,并将审查访问权限,以确保敏感数据只能由需要的员工访问。该公司还将实施一个新的通知系统,以便在出现问题时更快地提醒团队。
12月1日首次发现Ankr协议黑客攻击。它允许攻击者伪造20万亿Ankr奖励Bearstaked BNB (aBNBc),这是立即分散的,因此大约500万美元的硬币$1.00桥接到以太坊。该团队表示,计划向受漏洞影响的用户重新发放其aBNBb和aBNBc令牌,并从自己的国库中支出500万美元,以确保这些新令牌得到全面支持。
开发商还部署了1500万美元来重新挂钩HAY stable currency,该货币因存在漏洞而抵押不足。
本文由会员发布,不代表本站立场。如有侵权,请联系我们删除!
温馨提示:注:内容来源均采集于互联网,不要轻信任何,后果自负,本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权,请给我们来信,我们会及时处理和回复。
原文地址"Ankr表示前雇员造成了500万美元的漏洞利用 并发誓要提高安全性":http://www.ljycsb.cn/qukuailian/250496.html。
微信扫描二维码投放广告
▲长按图片识别二维码
