Peretasan $ 5 juta dari protokol Ankr pada 1 Desember disebabkan oleh mantan anggota tim, menurut pengumuman 20 Desember dari tim Ankr.
Mantan karyawan tersebut melakukan ‘serangan rantai pasokan’ dengan memasukkan kode berbahaya ke dalam paket pembaruan perangkat lunak internal tim. Setelah perangkat lunak ini diperbarui, kode jahat menciptakan kerentanan keamanan yang memungkinkan penyerang mencuri kunci pengerakan tim dari server perusahaan.
Sebelumnya, tim telah mengumumkan bahwa eksploitasi tersebut disebabkan oleh penyebar yang mempunyai kunci yang digunakan untuk memutakhirkan protokol smartcontract. Tetapi pada saat itu, mereka tidak menjelaskan bagaimana kunci penyebar dicuri.
Ankr telah memberi tahu otoritas lokal dan berusaha agar penyerang dibawa ke pengadilan. Itu juga berusaha untuk menopang praktik keamanannya untuk melindungi akses ke kuncinya di masa depan.
Kontrak yang dapat ditingkatkan seperti yang digunakan di Ankr bergantung pada konsep akun pemilik yang memiliki otoritas tunggal untuk melakukan peningkatan, menurut OpenZeppelin. Karena risiko pencurian, sebagian besar pengembang mengalihkan kepemilikan kontrak ini ke brankas Gnosis atau akun multisignature lainnya. Tim Ankr mengatakan bahwa mereka tidak menggunakan akun multisignature untuk kepemilikan di masa lalu, tetapi akan melakukannya mulai sekarang.
Gabung komunitas Cryptoiz Gratis!! https://t.me/cryptoizoffice/22580
