Un hackeo de $ 5 millones del protocolo Ankr el 1 de diciembre fue causado por un ex miembro del equipo, según un anuncio del 20 de diciembre del equipo de Ankr.
El ex empleado realizó un «ataque a la cadena de suministro» al poner código malicioso en un paquete de futuras actualizaciones del software interno del equipo. Una vez que se actualizó este software, el código malicioso creó una vulnerabilidad de seguridad que permitió al atacante robar la clave de implementación del equipo del servidor de la compañía.
Anteriormente, el equipo había anunciado que el exploit fue causado por una clave de implementación robada que se utilizó para actualizar los contratos inteligentes del protocolo. Pero en ese momento, no habían explicado cómo se había robado la clave del implementador.
Ankr ha alertado a las autoridades locales y está tratando de que el atacante sea llevado ante la justicia. También está tratando de reforzar sus prácticas de seguridad para proteger el acceso a sus claves en el futuro.
Los contratos actualizables como los utilizados en Ankr se basan en el concepto de una «cuenta de propietario» que tiene autoridad exclusiva para realizar actualizaciones, según un tutorial de OpenZeppelin sobre el tema. Debido al riesgo de robo, la mayoría de los desarrolladores transfieren la propiedad de estos contratos a una cuenta de gnosis safe u otra cuenta multifirma. El equipo de Ankr dijo que no usó una cuenta multifirma para la propiedad en el pasado, pero lo hará a partir de ahora, afirmando:
«El exploit fue posible en parte porque había un único punto de falla en nuestra clave de desarrollador. Ahora implementaremos la autenticación multi-sig para las actualizaciones que requerirán la aprobación de todos los custodios clave durante intervalos de tiempo restringido, lo que hace que un ataque futuro de este tipo sea extremadamente difícil, si no imposible. Estas características mejorarán la seguridad para el nuevo contrato ankrBNB y todos los tokens Ankr».
Ankr también se ha comprometido a mejorar las prácticas de recursos humanos. Requerirá verificaciones de antecedentes «escaladas» para todos los empleados, incluso los que trabajan de forma remota, y revisará los derechos de acceso para asegurarse de que solo los trabajadores que lo necesiten puedan acceder a los datos confidenciales.
La compañía también implementará nuevos sistemas de notificación para alertar al equipo más rápidamente cuando algo salga mal.
El hack del protocolo Ankr fue descubierto por primera vez el 1 de diciembre. Permitió al atacante acuñar 20 billones de Ankr Reward Bearing Staked BNB (aBNBc), que se intercambió inmediatamente en intercambios descentralizados por alrededor de $ 5 millones en USD Coin y puente a Ethereum. El equipo ha declarado que planea volver a emitir sus tokens aBNBb y aBNBc a los usuarios afectados por el exploit y gastar $ 5 millones de su propia tesorería para garantizar que estos nuevos tokens estén totalmente respaldados.
El desarrollador también ha desplegado $ 15 millones para vincular la stablecoin HAY, que se convirtió en subcolateralizada debido al exploit.
FUENTE: COINTELEGRAPH
