共有する

Ankr攻撃事件報告：攻撃はある元メンバーの悪意あるサプライチェーン攻撃に起因し、現在法執行機関と協力して訴訟を行っています。

2022-12-22 18:50:22

コレクション

Ankrチームは、現在も未解決の問題がすべて解決され、影響を受けたすべてのユーザーが補償を受けられるよう努めていると述べています。

著者：Ankr

Web3 インフラストラクチャプロバイダーの Ankr は、攻撃事件報告を発表し、aBNBc トークンの脆弱性悪用に関する調査結果を公開しました。これは、ある前メンバーによる悪意のあるサプライチェーン攻撃に起因しており、現在、法執行機関と協力してこの前チームメンバーを起訴し、法の裁きを受けさせる手続きを進めています。同時に、今後の類似の攻撃を防ぐためのセキュリティ対策のアップグレードプランも発表しました。

攻撃後、Ankr の対応策は全体として以下のように分けられます：

セキュリティを回復し、DEX と協力して取引を停止
コミュニティのために包括的な補償プランを策定し、実施
攻撃の原因を前従業員に特定（現在、法執行機関と協力し、適切な法的措置を講じています）

脆弱性の原因

退職した前チームメンバーが悪意を持ってサプライチェーン攻撃を行い、悪意のあるコードパッケージを挿入しました。このコードパッケージは、正当な更新が行われると私有鍵を破壊することができます。現在、法執行機関と協力してこの前チームメンバーを起訴し、法の裁きを受けさせる手続きを進めています。また、これは任意のプロトコルに影響を及ぼす可能性があり、チームは内部の人事プロセスとセキュリティ対策を支援し、将来のセキュリティ状況を強化しています。

攻撃の制止

Ankr は攻撃後、攻撃による損失を最小限に抑えるために即座に複数の措置を講じました：

脆弱性を公表し、解決策を策定。
知られている出入口に通知し、取引を停止
新しい鍵を使用してスマートコントラクトを保護し、さらなる改ざんを防止。
スマートコントラクトとシステムを更新し、流動的なステーキング製品における BNB の基礎業務を一時停止。

回復計画の策定

Ankr は補償措置を開始し、脆弱性によって損失を被ったユーザーに全額補償を行いました。Ankr チームは、高度な API ツールを使用して 10 秒以内に各 aBNBc 保有者を特定し、専用ノードで通常のクエリ方法を使用する場合は数時間かかる可能性があると述べています。

スナップショットを撮影し、影響を受けたユーザーを特定
新しい ankrBNB トークンを作成
影響を受けた保有者に ankrBNB をエアドロップ
影響を受けたユーザーに対する補償プランを策定

コミュニティへの補償

HAY の価格を再安定化させ、Helio プラットフォームの aBNBc に対する損害を修復。
影響を受けた aBNBc および aBNBb 保有者に ankrBNB をエアドロップ
すべての影響を受けた DeFi LP に BNB をエアドロップ
Wombat と合意し、stkBNB 流動性提供者に補償し、BNBWombat LP を 100% カバーする計画。

セキュリティ改善措置

Ankr は、すべての更新に対してマルチシグ認証とタイムロックを実施することを要求するなど、セキュリティ状況を改善するための複数の措置を発表しました。また、内部のセキュリティ対策の改善、新しい監視および通知システムの実施、DeFi プロトコルの使用手順の精緻化なども含まれます。

マルチシグ認証とタイムロックの実施

脆弱性の一因は、Ankr 開発者の鍵に単一障害点が存在することです。Ankr は、すべての鍵保管者が時間制限の間隔内で署名することを必要とするマルチシグ認証を更新します。これにより、将来のこのような攻撃が極めて困難になります。これらの機能は、ankrBNB コントラクトおよびすべての ANKR トークンのセキュリティを向上させます。