Un piratage de 5 millions de dollars du protocole Ankr le 1er décembre a été causé par un ancien membre de l'équipe, selon une annonce du 20 décembre de l'équipe Ankr.
L'ex-employé a mené une "attaque de la chaîne d'approvisionnement" en mettre code malveillant dans un ensemble de futures mises à jour du logiciel interne de l'équipe. Une fois ce logiciel mis à jour, le code malveillant a créé une faille de sécurité qui a permis à l'attaquant de voler la clé de déploiement de l'équipe sur le serveur de l'entreprise.
Rapport après action : nos conclusions sur l'exploit de jeton aBNBc
Nous venons de publier un nouveau billet de blog qui va en profondeur à ce sujet : https://t.co/fyagjhODNG
– Jalonnement Ankr (@ankrstaking) 20 décembre 2022
Auparavant, l'équipe avait annoncé que l'exploit était causé par une clé de déployeur volée qui a été utilisé pour mettre à niveau les contrats intelligents du protocole. Mais à l'époque, ils n'avaient pas expliqué comment la clé du déployeur avait été volée.
L'Ankr a alerté les autorités locales et tente de faire traduire l'agresseur en justice. Il tente également de renforcer ses pratiques de sécurité pour protéger l'accès à ses clés à l'avenir.
Les contrats évolutifs comme ceux utilisés dans Ankr reposent sur le concept de « compte propriétaire » qui est seul habilité à a prendre une mises à niveau, selon un tutoriel OpenZeppelin sur le sujet. En raison du risque de vol, la plupart des développeurs transfèrent la propriété de ces contrats vers un coffre-fort gnosis ou un autre compte multisignature. L'équipe Ankr a déclaré qu'elle n'utilisait pas de compte multisig pour la propriété dans le passé, mais qu'elle le fera désormais, déclarant :
"L'exploit a été possible en partie parce qu'il y avait un point de défaillance unique dans notre clé de développeur. Nous allons maintenant implémenter l'authentification multi-signatures pour les mises à jour qui nécessiteront l'approbation de tous les dépositaires de clés pendant des intervalles limités dans le temps, ce qui rendra une future attaque de ce type extrêmement difficile, voire impossible. Ces fonctionnalités amélioreront la sécurité du nouveau contrat ankrBNB et de tous les jetons Ankr.
Ankr s'est également engagé à améliorer les pratiques en matière de ressources humaines. Il exigera des vérifications d'antécédents « intensifiées » pour tous les employés, même ceux qui travaillent à distance, et il examinera les droits d'accès pour s'assurer que les données sensibles ne sont accessibles qu'aux travailleurs qui en ont besoin. L'entreprise mettra également en place de nouveaux systèmes de notification pour alerter l'équipe plus rapidement en cas de problème.
Le piratage du protocole Ankr a été découvert pour la première fois le 1er décembre. Cela a permis à l'attaquant de frapper 20 billions de BNB Ankr Reward Bearing Staked (aBNBc), qui ont été immédiatement échangés sur des échanges décentralisés pour environ 5 millions de dollars en USD Coin (USDC) et relié à Ethereum. L'équipe a déclaré qu'elle prévoyait de réémettre ses jetons aBNBb et aBNBc aux utilisateurs touchés par l'exploit et de dépenser 5 millions de dollars de sa propre trésorerie pour s'assurer que ces nouveaux jetons sont entièrement soutenus.
Le développeur a également déployé 15 millions de dollars pour repeg le stablecoin HAY, qui est devenue sous-garantie en raison de l'exploit.
Source : https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security