Ankr, penyedia infrastruktur Web3 terdesentralisasi, mengakui minggu ini bahwa peretasan senilai $5 juta yang terjadi awal bulan ini adalah pekerjaan orang dalam yang disebabkan oleh mantan karyawan.
Seorang aktor jahat, pada 2 Desember, mengeksploitasi sensible contract dari salah satu token hadiah taruhan Ankr, aBNBc. Aktor tersebut mengeksploitasi bug dalam kodenya yang memungkinkan pencetakan token tanpa batas yang diterapkan ke Rantai BNB Binance.
Pada saat itu, tim mengumumkan bahwa eksploit tersebut disebabkan oleh kunci penyebar yang dicuri yang digunakan untuk memutakhirkan kontrak pintar protokol, meskipun mereka juga menjelaskan bahwa kunci penyebar telah dicuri.
Namun, minggu ini, Ankr mengonfirmasi bahwa seorang mantan karyawan melakukan “serangan rantai pasokan” dengan memasukkan kode berbahaya ke dalam paket pembaruan di masa mendatang pada perangkat lunak inside tim.
“Seorang mantan anggota tim (yang tidak lagi bersama Ankr) bertindak jahat untuk melakukan serangan rantai pasokan, memasukkan paket kode berbahaya yang dapat membahayakan kunci pribadi kami setelah pembaruan yang sah dilakukan,” kata Ankr dalam sebuah weblog.
“Sayangnya, aktor jahat inside dapat memengaruhi protokol apa pun dan kami sedang berupaya menopang proses SDM inside dan langkah-langkah keselamatan untuk memperkuat postur keamanan kami ke depan,” tambah perusahaan itu.
Perusahaan crypto saat ini bekerja sama dengan pihak berwenang untuk menuntut mantan karyawan tersebut. Ankr juga meyakinkan pelanggannya bahwa itu akan memperkuat keamanannya dan mencatat bahwa sementara itu tidak menggunakan akun multi-sig untuk kepemilikan di masa lalu, itu akan terus berlanjut.
Eksploitasi itu dimungkinkan sebagian karena ada satu titik kegagalan dalam kunci pengembang kami. Kami sekarang akan menerapkan otentikasi multi-tanda untuk pembaruan yang akan memerlukan penutupan dari semua penjaga kunci selama interval yang dibatasi waktu, membuat serangan jenis ini di masa depan. sangat sulit jika bukan tidak mungkin. Fitur ini akan meningkatkan keamanan untuk kontrak ankrBNB baru dan semua token Ankr,” kata Ankr.
Selain itu, Ankr juga mengatakan akan meningkatkan praktik sumber daya manusianya dan akan memerlukan pemeriksaan latar belakang yang lebih ketat dari semua karyawannya, termasuk mereka yang bekerja dari jarak jauh.
“Ankr sekarang akan memerlukan pemeriksaan latar belakang yang ditingkatkan untuk semua karyawan (termasuk semua kontraktor dan pekerja jarak jauh) sambil mengambil tindakan ekstra untuk memverifikasi standing saat ini dari mereka yang saat ini bekerja di Ankr. Kami juga meninjau hak akses dan mengambil langkah ekstra untuk meminimalkan masuk ke sistem sensitif,” tulis posting itu.
Selain itu, Ankr mengatakan akan menerapkan sistem notifikasi baru untuk memberi tahu mereka lebih cepat ketika terjadi kesalahan.
“Tim dapat menangkap serangan dengan sangat cepat, tetapi kami selalu dapat bekerja untuk meningkatkan waktu respons kami. Kami menerapkan sistem notifikasi baru untuk memperingatkan personel kunci sehingga mereka dapat on-line lebih cepat kapan saja,” tambah Ankr.
Setelah eksploitasi awal bulan ini, Ankr mengganti biaya pelanggan yang terkena peretasan dengan mengirimkan ankrBNB dan BNB ke penyedia likuiditas DeFi.
https://information.bitcoin.com/european-bitcoin-exchange-hacked-for-1-4-million-claims-it-cannot-afford-to-repay-users/
