א 5 מיליאָן דאָללאַרס כאַק פון די אַנקר פּראָטאָקאָל אויף 1 דעצעמבער איז געפֿירט דורך אַ געוועזענער מאַנשאַפֿט מיטגליד, לויט אַ 20 דעצעמבער מעלדן פון די אַנקר מאַנשאַפֿט.
דער געוועזענער אָנגעשטעלטער האָט דורכגעפירט אַ "סאַפּלייז קייט אטאקע" דורך פּאַטינג בייזע קאָד אין אַ פּעקל פון צוקונפֿט דערהייַנטיקונגען צו די מאַנשאַפֿט ס ינערלעך ווייכווארג. אַמאָל די ווייכווארג איז דערהייַנטיקט, די בייזע קאָד באשאפן אַ זיכערהייט וואַלנעראַביליטי וואָס ערלויבט די אַטאַקער צו גאַנווענען די מאַנשאַפֿט ס דיפּלויער שליסל פון די פירמע 'ס סערווער.
נאָך קאַמף באריכט: אונדזער פיינדינגז פֿון די אַבנבק טאָקען עקספּלאָיט
מיר פּונקט באפרייט אַ נייַע בלאָג פּאָסטן וואָס גייט אין-טיפקייַט וועגן דעם: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) דעצעמבער קסנומקס, קסנומקס
ביז אַהער, די מאַנשאַפֿט האט מודיע אַז די עקספּלויט איז געווען געפֿירט דורך אַ סטאָלען דיפּלויער שליסל וואָס איז גענוצט צו אַפּגרייד די סמאַרט קאַנטראַקץ פון די פּראָטאָקאָל. אבער אין דער צייט, זיי האָבן נישט דערקלערט ווי די דיפּלויער שליסל איז סטאָלען.
אנקר האט אלארמירט די לאקאלע אויטאריטעטן און פרובירט צו ברענגען דעם אטאקער פאר גערעכטיקייט. עס איז אויך פּרווון צו שטיצן זיין זיכערהייט פּראַקטיסיז צו באַשיצן אַקסעס צו זיין שליסלען אין דער צוקונפֿט.
אַפּגריידאַבאַל קאַנטראַקץ ווי די געניצט אין Ankr פאַרלאָזנ זיך דעם באַגריף פון אַ "באַזיצער חשבון" וואָס האט די איינציקע אויטאָריטעט צו מאַכן אַפּגריידז, לויט אַן OpenZeppelin טוטאָריאַל וועגן דעם טעמע. ווייַל פון די ריזיקירן פון גנייווע, רובֿ דעוועלאָפּערס אַריבערפירן אָונערשיפּ פון די קאַנטראַקץ צו אַ גנאָסיס זיכער אָדער אנדערע מולטיסיגנאַטורע חשבון. די Ankr מאַנשאַפֿט האט געזאגט אַז עס האט נישט נוצן אַ מולטיסיג חשבון פֿאַר אָונערשיפּ אין דער פאַרגאַנגענהייט, אָבער וועט טאָן דאָס פֿון איצט אויף, סטייטינג:
"דער גווורע איז געווען מעגלעך טייל ווייַל עס איז געווען אַ איין פונט פון דורכפאַל אין אונדזער דעוועלאָפּער שליסל. מיר וועלן איצט ינסטרומענט מולטי-סיג אָטענטאַקיישאַן פֿאַר דערהייַנטיקונגען וואָס וועט דאַרפן סיגנאָפף פון אַלע שליסל קאַסטאַדיאַנס בעשאַס צייט-ריסטריקטיד ינטערוואַלז, מאכן אַ צוקונפֿט באַפאַלן פון דעם טיפּ גאָר שווער אויב ניט אוממעגלעך. די פֿעיִקייטן וועלן פֿאַרבעסערן זיכערהייט פֿאַר די נייַע אַנקרבנב קאָנטראַקט און אַלע Ankr טאָקענס.
Ankr האט אויך וואַוד צו פֿאַרבעסערן מענטשלעך ריסאָרס פּראַקטיסיז. עס וועט דאַרפן "עסקאַלייטיד" הינטערגרונט טשעקס פֿאַר אַלע עמפּלוייז, אפילו יענע וואָס אַרבעט רימאָוט, און עס וועט אָפּשאַצן אַקסעס רעכט צו מאַכן זיכער אַז שפּירעוודיק דאַטן קענען זיין אַקסעסט בלויז דורך טוערס וואָס דאַרפֿן עס. די פירמע וועט אויך ינסטרומענט נייַע אָנזאָג סיסטעמען צו פלינק די מאַנשאַפֿט מער געשווינד ווען עפּעס גייט פאַלש.
די Ankr פּראָטאָקאָל כאַק איז ערשט אנטדעקט געווארן אויף דעצעמבער 1. עס ערלויבט די אַטאַקער צו מינץ 20 אַנקר באַלוינונג שייַכעס סטאַקעד BNB (aBNBc), וואָס איז מיד סוואַפּט אויף דיסענטראַלייזד יקסטשיינדזשיז פֿאַר אַרום $ 5 מיליאָן אין וסד קאָין (וסד) און ברידזשד צו עטהערעום. די מאַנשאַפֿט האט סטייטיד אַז עס פּלאַנז צו ריסויסן זייַן aBNBb און aBNBc טאָקענס צו יוזערז אַפעקטאַד דורך די גווורע און צו פאַרברענגען $ 5 מיליאָן פון זיין אייגענע שאַצקאַמער צו ענשור אַז די נייַע טאָקענס זענען גאָר באַקט.
דער דעוועלאָפּער האט אויך דיפּלויד $ 15 מיליאָן צו רעפּעג די HAY סטאַבילקאָין, װעלכע ר אי ז געװאר ן אונטער ־ קאלטעראליזיר ט צולי ב דע ר גוײם .
מקור: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security