Ankr表示前雇员造成了500万美元的漏洞利用 并发誓要提高安全性

该小组已向有关当局发出警报，并正在寻求起诉攻击者，同时加强其安全措施。

根据 Ankr 团队 12 月 20 日的公告，12 月 1 日对 Ankr 协议的 500 万美元黑客攻击是由一名前团队成员造成的。

这名前雇员通过将恶意代码放入团队内部软件的未来更新包中进行了“供应链攻击”。更新此软件后，恶意代码创建了一个安全漏洞，允许攻击者从公司的服务器窃取团队的部署程序密钥。

行动后报告：我们从aBNBc令牌漏洞中的

发现

我们刚刚发布了一篇新的博客文章，深入探讨了这一点：— 安克质押 (@ankrstaking) 2022 年 12 月 20 日。

此前，该团队宣布该漏洞是由用于升级协议智能合约的被盗部署程序密钥引起的。但当时，他们没有解释部署程序密钥是如何被盗的。

Ankr已向地方当局发出警报，并试图将袭击者绳之以法。它还试图加强其安全措施，以保护未来对其密钥的访问。

根据OpenZeppelin关于该主题的教程，像Ankr中使用的可升级合同依赖于“所有者帐户”的概念，该帐户具有进行升级的唯一权限。由于存在盗窃风险，大多数开发人员将这些合约的所有权转移到 gnosis safe 或其他多重签名帐户。Ankr团队表示，它过去没有使用多重签名帐户进行所有权，但从现在开始将这样做，并指出：

“该漏洞利用之所以可能，部分原因是我们的开发人员密钥中存在单点故障。我们现在将对需要在有时间限制的时间间隔内所有关键保管人签核的更新实施多重签名身份验证，这使得未来的此类攻击即使不是不可能，也非常困难。这些功能将提高新的ankrBNB合约和所有Ankr代币的安全性。

Ankr还发誓要改善人类资源的做法。它将要求对所有员工进行“升级”的背景调查，即使是远程工作的员工，并将审查访问权限，以确保敏感数据只能由需要它的员工访问。该公司还将实施新的通知系统，以便在出现问题时更快地提醒团队。

Ankr协议黑客攻击于12月1日首次被发现。它允许攻击者铸造20万亿Ankr Rewards Bearstaked BNB (aBNBc)，该币立即在去中心化交易所以约500万美元的美元硬币$1.00并桥接到以太坊。该团队表示，它计划向受漏洞影响的用户重新发行其aBNBb和aBNBc代币，并从自己的国库中花费500万美元来确保这些新代币得到充分支持。

开发商还部署了1500万美元来重新挂钩HAY稳定币，由于漏洞利用，该稳定币抵押不足。