Achoswyd darnia $5 miliwn o brotocol Ankr ar Ragfyr 1 gan gyn aelod o'r tîm, yn ôl cyhoeddiad Rhagfyr 20 gan dîm Ankr.
Cynhaliodd y cyn-weithiwr “ymosodiad cadwyn gyflenwi” gan rhoi cod maleisus i mewn i becyn o ddiweddariadau yn y dyfodol i feddalwedd mewnol y tîm. Ar ôl i'r feddalwedd hon gael ei diweddaru, creodd y cod maleisus fregusrwydd diogelwch a oedd yn caniatáu i'r ymosodwr ddwyn allwedd defnyddio'r tîm o weinydd y cwmni.
Adroddiad Ar Ôl Gweithredu: Ein Canfyddiadau O'r aBNBc Token Exploit
Rydyn ni newydd ryddhau blogbost newydd sy'n mynd yn fanwl am hyn: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) Rhagfyr 20, 2022
Yn flaenorol, roedd y tîm wedi cyhoeddi bod y camfanteisio a achosir gan allwedd deployer wedi'i ddwyn a ddefnyddiwyd i uwchraddio contractau smart y protocol. Ond ar y pryd, doedden nhw ddim wedi egluro sut roedd allwedd y deployer wedi'i ddwyn.
Mae Ankr wedi rhybuddio awdurdodau lleol ac yn ceisio dod â’r ymosodwr o flaen ei well. Mae hefyd yn ceisio rhoi hwb i'w arferion diogelwch er mwyn diogelu mynediad at ei allweddi yn y dyfodol.
Mae contractau y gellir eu huwchraddio fel y rhai a ddefnyddir yn Ankr yn dibynnu ar y cysyniad o “gyfrif perchennog” sydd ag awdurdod yn unig i wneud hynny gwneud uwchraddio, yn ôl tiwtorial OpenZeppelin ar y pwnc. Oherwydd y risg o ddwyn, mae'r rhan fwyaf o ddatblygwyr yn trosglwyddo perchnogaeth y contractau hyn i gyfrif gnosis safe neu gyfrif amllofnod arall. Dywedodd tîm Ankr nad oedd yn defnyddio cyfrif multisig ar gyfer perchnogaeth yn y gorffennol ond bydd yn gwneud hynny o hyn ymlaen, gan nodi:
“Roedd y camfanteisio yn bosibl yn rhannol oherwydd bod un pwynt o fethiant yn allwedd ein datblygwr. Byddwn nawr yn gweithredu dilysiad aml-sig ar gyfer diweddariadau a fydd yn gofyn am gymeradwyaeth gan bob ceidwad allweddol yn ystod cyfnodau â chyfyngiad amser, gan wneud ymosodiad o'r math hwn yn y dyfodol yn hynod anodd os nad yn amhosibl. Bydd y nodweddion hyn yn gwella diogelwch ar gyfer y contract ankrBNB newydd a holl docynnau Ankr. ”
Mae Ankr hefyd wedi addo gwella arferion adnoddau dynol. Bydd angen gwiriadau cefndir “uwchraddio” ar gyfer yr holl weithwyr, hyd yn oed y rhai sy'n gweithio o bell, a bydd yn adolygu hawliau mynediad i wneud yn siŵr mai dim ond gweithwyr sydd ei angen all gael mynediad at ddata sensitif. Bydd y cwmni hefyd yn gweithredu systemau hysbysu newydd i rybuddio'r tîm yn gyflymach pan aiff rhywbeth o'i le.
Mae'r protocol Ankr darnia ei ddarganfod gyntaf ar Ragfyr 1. Caniataodd i'r ymosodwr bathu 20 triliwn Ankr Reward Bearing Staked BNB (aBNBc), a gafodd ei gyfnewid ar unwaith ar gyfnewidfeydd datganoledig am tua $5 miliwn mewn USD Coin (USDC) a'i bontio i Ethereum. Mae'r tîm wedi datgan ei fod yn bwriadu ailgyhoeddi ei docynnau aBNBb ac aBNBc i ddefnyddwyr yr effeithir arnynt gan y camfanteisio ac i wario $5 miliwn o'i drysorlys ei hun i sicrhau bod y tocynnau newydd hyn yn cael eu cefnogi'n llawn.
Mae'r datblygwr hefyd wedi defnyddio $15 miliwn i repeg y stablecoin HAY, a ddaeth yn undercolateralized oherwydd y camfanteisio.
Ffynhonnell: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security