Ankr 称前雇员造成了 500 万美元的漏洞，发誓要提高安全性

据悉，根据Ankr团队12月20日的公告，12月1日对Ankr协议的500万美元黑客攻击是由一名前团队成员造成的。

这位前雇员通过将恶意代码放入团队内部软件的未来更新包中进行了“供应链攻击”。更新此软件后，恶意代码会创建一个安全漏洞，使攻击者能够从公司的服务器上窃取团队的部署者密钥。

此前，该团队曾宣布该漏洞是由用于升级协议智能合约的部署者密钥被盗引起的。但当时，他们没有解释部署者密钥是如何被盗的。

Ankr已通知地方当局，并试图将袭击者绳之以法。它还试图加强其安全实践，以保护未来对其密钥的访问。

根据关于该主题的OpenZeppelin教程，可升级合约（如Ankr中使用的合约）依赖于拥有唯一权限进行升级的“所有者帐户”的概念。由于盗窃的风险，大多数开发人员将这些合约的所有权转移到gnosissafe或其他多重签名帐户。Ankr团队表示，它过去没有使用多重签名帐户来表示所有权，但从现在开始将这样做，并表示：“该漏洞利用的部分原因是我们的开发人员密钥存在单点故障。我们现在将为更新实施多重签名身份验证，这将需要所有密钥保管人在时间限制的时间间隔内签核，这使得未来此类攻击即使不是不可能也极其困难。这些功能将提高新ankrBNB合约和所有Ankr代币的安全性。”

Ankr还发誓要改善人力资源实践。它将要求对所有员工进行“升级”的背景调查，甚至包括远程工作的员工，并将审查访问权限以确保敏感数据只能由需要的员工访问。该公司还将实施新的通知系统，以便在出现问题时更快地提醒团队。

开发人员还部署了1500万美元重新锁定HAY稳定币，该稳定币由于漏洞利用而变得抵押不足。