نبه الفريق السلطات المعنية ويسعى لملاحقة المهاجم مع تعزيز الممارسات الأمنية
حدث اختراق لبروتوكول أنكر Ankr بقيمة 5 ملايين دولار يوم 1 ديسمبر من قبل عضو سابق في الفريق، وذلك وفقًا لإعلان بتاريخ 20 ديسمبر من فريق Ankr.
وقد أجرى الموظف السابق "هجومًا على سلسلة التوريد" عن طريق وضع تعليمات برمجية ضارة في حزمة من التحديثات المستقبلية للبرامج الداخلية للفريق؛ وبمجرد تحديث هذا البرنامج، خلقت التعليمات البرمجية الضارة ثغرة أمنية سمحت للمهاجم بسرقة مفتاح النشر الخاص بالفريق من خادم الشركة.
After Action Report: Our Findings From the aBNBc Token Exploit
— Ankr Staking (@ankrstaking) December 20, 2022
We just released a new blog post that goes in-depth about this: https://t.co/fyagjhODNG
A pic.twitter.com/d6psUbpxNY
في السابق، أعلن الفريق أن سبب الاستغلال هو مفتاح نشر مسروق تم استخدامه لترقية العقود الذكية للبروتوكول؛ لكنهم في ذلك الوقت، لم يشرحوا كيف سُرق مفتاح النشر.
نبهت Ankr السلطات المحلية، وتحاول تقديم المهاجم إلى العدالة؛ كما تحاول تعزيز ممارساتها الأمنية لحماية الوصول إلى مفاتيحها في المستقبل.
تعتمد العقود القابلة للترقية مثل تلك المستخدمة في Ankr على مفهوم "حساب المالك" الذي يمتلك السلطة الوحيدة لإجراء الترقيات، وفقًا لبرنامج OpenZeppelin التعليمي حول هذا الموضوع. ونظرًا لخطر السرقة، ينقل معظم المطورين ملكية هذه العقود إلى حساب آمن أو حساب آخر متعدد التوقيعات. يقول فريق Ankr إنه لم يستخدم حساب متعدد التوقيعات للملكية في الماضي ولكنه سيفعل ذلك من الآن فصاعدًا، موضحًا:
"كان الاستغلال ممكنًا جزئيًا بسبب وجود نقطة فشل واحدة في مفتاح المطور الخاص بنا؛ وسنقوم الآن بتنفيذ مصادقة متعددة التوقيعات للتحديثات التي ستتطلب تسجيل الخروج من جميع الأمناء الرئيسيين خلال فترات زمنية محددة، مما يجعل أي هجوم مستقبلي من هذا النوع صعبًا للغاية إن لم يكن مستحيلًا. وستعمل هذه الميزات على تحسين الأمان لعقد ankrBNB الجديد وجميع توكنات Ankr".
كما تعهدت Ankr بتحسين ممارسات الموارد البشرية، سيتطلب إجراء فحوصات خلفية "تصعيدية" لجميع الموظفين، حتى أولئك الذين يعملون عن بُعد، وسيراجع حقوق الوصول للتأكد من أنه لا يمكن الوصول إلى البيانات الحساسة إلا من قبل العاملين الذين يحتاجون إليها. كذلك ستقوم الشركة أيضًا بتطبيق أنظمة إعلام جديدة لتنبيه الفريق بسرعة أكبر عند حدوث خطأ ما.
تم اكتشاف اختراق بروتوكول Ankr لأول مرة يوم 1 ديسمبر؛ وقد سمح للمهاجم بسك 20 تريليون Ankr Reward Bearing Staked BNB (aBNBc)، والتي تم استبدالها فورًا في البورصات اللامركزية بحوالي 5 ملايين USDC وتم تحويلها إلى إيثريوم. وقد صرح الفريق بأنه يخطط لإعادة إصدار توكنات aBNBb وaBNBc للمستخدمين المتأثرين بالاستغلال وإنفاق 5 ملايين دولار من الخزانة الخاصة به لضمان دعم هذه التوكنات الجديدة بالكامل.
قام المطور أيضًا بتخصيص 15 مليون دولار لإعادة إصدار العملة المستقرة HAY، والتي أصبحت غير مضمونة بسبب الاستغلال.
