El hackeo del protocolo Ankr, que costó USD 5 millones el 1 de diciembre, fue provocado por un antiguo miembro del equipo, según anunció el equipo del proyecyo el 20 de diciembre.

El ex empleado llevó a cabo un "ataque a la cadena de suministro" introduciendo código malicioso en un paquete de futuras actualizaciones del software interno del equipo. Una vez actualizado este software, el código malicioso creó una vulnerabilidad de seguridad que permitió al atacante robar la clave de despliegue del equipo desde el servidor de la empresa.

Anteriormente, el equipo había anunciado que el exploit había sido causado por una clave deployer robada que se había utilizado para actualizar los contratos inteligentes del protocolo. Pero en ese momento, no habían explicado cómo se había robado la clave de despliegue.

Ankr ha alertado a las autoridades locales y está intentando llevar al atacante ante la justicia. También está intentando reforzar sus prácticas de seguridad para proteger el acceso a sus claves en el futuro.

Los contratos actualizables como los utilizados en Ankr se basan en el concepto de "cuenta de propietario", que es la única que tiene autoridad para realizar actualizaciones, según un tutorial de OpenZeppelin sobre el tema. Debido al riesgo de robo, la mayoría de los desarrolladores transfieren la propiedad de estos contratos a una bóveda gnosis u otra cuenta multisig. El equipo de Ankr afirma que no utilizó una cuenta multisig para la propiedad en el pasado, pero que lo hará a partir de ahora, declarando:

"El exploit fue posible en parte porque había un único punto de fallo en nuestra clave de desarrollador. Ahora implantaremos la autenticación multisig para las actualizaciones, que requerirá la firma de todos los custodios de la clave durante intervalos de tiempo restringidos, lo que dificultará enormemente, si no imposibilitará, un futuro ataque de este tipo. Estas características mejorarán la seguridad del nuevo contrato ankrBNB y de todos los tokens Ankr".

Ankr también se ha comprometido a mejorar las prácticas de RRHH. Exigirá comprobaciones de antecedentes "escaladas" a todos los empleados, incluso a los que trabajen a distancia, y revisará los derechos de acceso para asegurarse de que solo puedan acceder a los datos sensibles los trabajadores que los necesiten. La empresa también implantará nuevos sistemas de notificación para alertar más rápidamente al equipo cuando algo vaya mal.

El hackeo del protocolo Ankr se descubrió por primera vez el 1 de diciembre. Permitió al atacante acuñar 20 billones de Ankr Reward Bearing Staked BNB (aBNBc), que fueron intercambiados inmediatamente en exchanges descentralizados por unos 5 millones de USD Coin (USDC) y puenteados a Ethereum. El equipo ha declarado que planea volver a emitir sus tokens aBNBb y aBNBc a los usuarios afectados por el exploit y gastar 5 millones de dólares de su propia tesorería para garantizar que estos nuevos tokens estén totalmente respaldados.

El desarrollador también ha desplegado USD 15 millones para recuperar la vinculación de la stablecoin HAY, que quedó infragarantizada debido al exploit.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.

Sigue leyendo: