作者:Ankr
Web3基础设施提供商Ankr发布攻击事件报告,公布对aBNBcToken漏洞利用的调查结果源于某前成员的恶意供应链攻击,目前正在与执法部门合作,起诉这名前团队成员以将其绳之以法。同时,公布安全措施升级方案,以防止未来发生任何类似的攻击。
攻击后,Ankr的应对措施整体可以分为:
恢复安全并与DEX合作,停止交易
为社区制定并执行了全面的赔偿计划
确定攻击起因为前员工
漏洞原因
LBank蓝贝壳于5月28日21:00上线KABOSU:据官方公告,5月28日21:00,LBank蓝贝壳上线KABOSU(Kabosu),开放USDT交易,5月27日21:00开放充值,5月29日21:00开放提现。
资料显示,Kabosu(日语:かぼす)是女性柴犬,最有名的是总督的脸。Kabosu于2005年11月2日出生于一家日本血统幼犬工厂,该工厂很快被关闭,Kabosu被困在日本众多动物收容所之一中。 Kabosu的拥有者佐藤敦子(Atsuko Sato)于2008年将她救出,使她免于因人命而丧命。 她的名字是由一个避难所志愿者命名的-卡波苏(Kabosu)是一种水果,她说救援人员提到她的脸很圆,就像水果一样。[2021/5/27 22:49:05]
一位已离职的前团队成员恶意恶意进行供应链攻击,插入恶意代码包,一旦进行合法更新,该代码包就能够破坏私钥。目前正在与执法部门合作,起诉这名前团队成员以将其绳之以法。同时这可能会影响任何协议,团队正在支持内部人力资源流程和安全措施,以加强未来的安全态势。
LBANK蓝贝壳3月3日20:00上线 ALCX,开启流动性挖矿活动:据官方公告,3月3日20:00,LBANK蓝贝壳“FARM交易区”上线ALCX(Alchemix),开放USDT交易,3月3日19:00开放充值,3月4日19:00开放提现。
资料显示,Alchemix是一个以合成资产代币模式,帮助用户获取存款未来收益的DeFi协议。协议允许用户取回部分临时质押稳定币的存款。
为庆祝ALCX上线,LBank将于3月3日20:00开启总奖励10500USDT流动性挖矿活动,活动期间,LBank 每5分钟对ALCX/USDT交易对进行快照,记录下买单前10档和卖单前10档未成交的挂单金额,然后计算收益,并在活动结束后发放USDT作为收益。每日挖矿奖励为1500 USDT。详情见官方公告。[2021/3/3 18:11:46]
制止攻击
Bitbank推出比特币借贷服务:据CNN6yue 10日消息,日本虚拟货币交易所Bitbank将推出比特币借贷服务,其目的是增加市场流动性,招揽更多的用户。服务推出后,用户可以借贷最低1个比特币进行交易。[2018/6/11]
Ankr在攻击后立即采取了多项措施,最大限度地减少攻击造成的损失:
向公众通告漏洞,制定解决方案。
通知已知出入口并停止交易
使用新密钥保护智能合约,防止进一步的篡改。
更新智能合约和系统,暂停流动质押产品中BNB的基础业务。
制定恢复计划
Ankr启动赔偿措施,对因漏洞而造成的损失的用户进行了全额补偿。Ankr团队称,使用其高级API工具在10秒内找到每个aBNBc持有者,对比在专用节点上使用普通查询方法可能需要几个小时。
拍摄快照,识别受影响的用户
创建全新的ankrBNB?Token
空投ankrBNB给受影响的持有人
为受影响用户确定补偿计划
补偿社区
通过重新稳定HAY价格,修复了对?Helio平台aBNBc?的伤害。
向受影响的aBNBc和?aBNBb持有者空投ankrBNB
向所有受影响的DeFiLP空投BNB
与Wombat达成协议,补偿stkBNB流动性提供者,并计划100%覆盖BNBWombatLP。
安全改进措施
Ankr公布了对安全状况进行多项改进措施,包括要求所有更新实行多重签名身份验证和时间锁、改进内部安全措施、实施新的监测和通知系统、细化使用DeFi协议程序等。
实行多重签名身份验证和时间锁
漏洞的其中一个原因是Ankr开发者密钥存在单点故障。Ankr将更新实行多重签名身份验证,这需要所有密钥保管人在时间限制的间隔内签核,使未来此类攻击变得极其困难。这些功能将提高ankrBNB合约和所有ANKR?Token的安全性。
改进内部安全措施
Ankr现要求对所有员工进行背景调查,同时采取额外措施来核实员工当前状态。此外,还包括审查访问权限、减少对敏感系统的访问等。
实施新的监控和通知系统
从执行层面看,Ankr团队在攻击监测方面表现尚佳,能够快速地捕捉到攻击,但通知机制仍需改进。Ankr团队表示,正在实施新的通知系统来提醒关键人员。
改进使用DeFi协议的程序
根据先例改进流程,简化与其他协议的沟通渠道,以便更快速的与各个国际团队沟通进程。
Ankr?团队表示,目前仍在努力确保所有未解决的问题都将得到解决,确保所有受影响的用户都已得到补偿。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。