ការ hack 5 លានដុល្លារនៃពិធីការ Ankr នៅថ្ងៃទី 1 ខែធ្នូត្រូវបានបង្កឡើងដោយអតីតសមាជិកក្រុមនេះបើយោងតាមការប្រកាសថ្ងៃទី 20 ខែធ្នូពីក្រុម Ankr ។
អតីតបុគ្គលិកបានធ្វើ "ការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់" ដោយ ដាក់ កូដព្យាបាទទៅក្នុងកញ្ចប់នៃការអាប់ដេតនាពេលអនាគតចំពោះកម្មវិធីខាងក្នុងរបស់ក្រុម។ នៅពេលដែលកម្មវិធីនេះត្រូវបានអាប់ដេត កូដព្យាបាទបានបង្កើតភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាព ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារលួចយកកូនសោដាក់ពង្រាយរបស់ក្រុមពីម៉ាស៊ីនមេរបស់ក្រុមហ៊ុន។
បន្ទាប់ពីរបាយការណ៍សកម្មភាព៖ ការរកឃើញរបស់យើងពីការកេងប្រវ័ញ្ចថូខឹន aBNBc
យើងទើបតែចេញផ្សាយប្លុកថ្មីមួយដែលនិយាយស៊ីជម្រៅអំពីរឿងនេះ៖ https://t.co/fyagjhODNG
- Ankr Staking (@ankrstaking) ខែធ្នូ 20, 2022
កន្លងមកក្រុមការងារធ្លាប់បានប្រកាសថាការកេងប្រវ័ញ្ចនោះគឺ បង្កឡើងដោយការលួចសោរដាក់ពង្រាយ ដែលត្រូវបានប្រើដើម្បីធ្វើឱ្យប្រសើរឡើងនូវកិច្ចសន្យាឆ្លាតវៃរបស់ពិធីការ។ ប៉ុន្តែនៅពេលនោះ ពួកគេមិនបានពន្យល់ពីរបៀបដែលសោរដាក់ពង្រាយត្រូវបានលួចនោះទេ។
Ankr បានជូនដំណឹងដល់អាជ្ញាធរមូលដ្ឋាន និងកំពុងព្យាយាមឱ្យអ្នកវាយប្រហារមកកាត់ទោស។ វាក៏កំពុងព្យាយាមពង្រឹងការអនុវត្តសុវត្ថិភាពរបស់ខ្លួនផងដែរ ដើម្បីការពារការចូលប្រើសោរបស់វានាពេលអនាគត។
កិច្ចសន្យាដែលអាចផ្លាស់ប្តូរបានដូចអ្វីដែលបានប្រើនៅក្នុង Ankr ពឹងផ្អែកលើគំនិតនៃ "គណនីម្ចាស់" ដែលមានសិទ្ធិអំណាចតែមួយគត់ក្នុងការ ធ្វើឱ្យ ធ្វើឱ្យប្រសើរឡើង នេះបើយោងតាមការបង្រៀន OpenZeppelin លើប្រធានបទ។ ដោយសារតែហានិភ័យនៃការលួច អ្នកអភិវឌ្ឍន៍ភាគច្រើនផ្ទេរកម្មសិទ្ធិនៃកិច្ចសន្យាទាំងនេះទៅគណនីសុវត្ថិភាព gnosis ឬគណនីពហុហត្ថលេខាផ្សេងទៀត។ ក្រុម Ankr បាននិយាយថា ខ្លួនមិនប្រើគណនីច្រើនសម្រាប់ភាពជាម្ចាស់កាលពីអតីតកាលទេ ប៉ុន្តែនឹងធ្វើដូច្នេះចាប់ពីពេលនេះតទៅ ដោយបញ្ជាក់ថា៖
“ការកេងប្រវ័ញ្ចគឺអាចធ្វើទៅបានមួយផ្នែក ដោយសារមានចំណុចតែមួយនៃការបរាជ័យនៅក្នុងកូនសោអ្នកអភិវឌ្ឍន៍របស់យើង។ ឥឡូវនេះ យើងនឹងអនុវត្តការផ្ទៀងផ្ទាត់ពហុសញ្ញា សម្រាប់ការអាប់ដេត ដែលនឹងតម្រូវឱ្យមានការចុះហត្ថលេខាពីអ្នកថែរក្សាសំខាន់ៗទាំងអស់ ក្នុងអំឡុងពេលដែលមានកំហិតពេលវេលា ដែលធ្វើឱ្យការវាយប្រហារប្រភេទនេះនាពេលខាងមុខមានការលំបាកខ្លាំង ប្រសិនបើមិនអាចធ្វើបាន។ លក្ខណៈពិសេសទាំងនេះនឹងធ្វើអោយប្រសើរឡើងនូវសុវត្ថិភាពសម្រាប់កិច្ចសន្យា ankrBNB ថ្មី និងថូខឹន Ankr ទាំងអស់។"
Ankr ក៏បានប្តេជ្ញាថានឹងធ្វើឱ្យប្រសើរឡើងនូវការអនុវត្តធនធានមនុស្ស។ វានឹងតម្រូវឱ្យមានការត្រួតពិនិត្យផ្ទៃខាងក្រោយ "កើនឡើង" សម្រាប់បុគ្គលិកទាំងអស់ សូម្បីតែអ្នកដែលធ្វើការពីចម្ងាយ ហើយវានឹងពិនិត្យមើលសិទ្ធិចូលប្រើ ដើម្បីប្រាកដថាទិន្នន័យរសើបអាចចូលប្រើបានដោយកម្មករដែលត្រូវការវាតែប៉ុណ្ណោះ។ ក្រុមហ៊ុនក៏នឹងអនុវត្តប្រព័ន្ធជូនដំណឹងថ្មី ដើម្បីជូនដំណឹងដល់ក្រុមកាន់តែលឿននៅពេលដែលមានអ្វីមួយខុសប្រក្រតី។
ការ hack ពិធីការ Ankr ត្រូវបានរកឃើញដំបូង នៅថ្ងៃទី 1 ខែធ្នូ។ វាបានអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើការដកប្រាក់ចំនួន 20 លានលាន Ankr Reward Bearing Stked BNB (aBNBc) ដែលត្រូវបានផ្លាស់ប្តូរភ្លាមៗលើការផ្លាស់ប្តូរវិមជ្ឈការក្នុងតម្លៃប្រហែល 5 លានដុល្លារជា USD Coin (USDC) ហើយភ្ជាប់ទៅ Ethereum ។ ក្រុមការងារបាននិយាយថា ខ្លួនគ្រោងនឹងចេញថូខឹន aBNBb និង aBNBc របស់ខ្លួនឡើងវិញដល់អ្នកប្រើប្រាស់ដែលរងផលប៉ះពាល់ដោយការកេងប្រវ័ញ្ច និងចំណាយប្រាក់ចំនួន 5 លានដុល្លារពីរតនាគាររបស់ខ្លួន ដើម្បីធានាថានិមិត្តសញ្ញាថ្មីទាំងនេះត្រូវបានគាំទ្រយ៉ាងពេញលេញ។
អ្នកអភិវឌ្ឍន៍ក៏បានដាក់ពង្រាយ $15 លានដុល្លារទៅ repeg កាក់ស្ថិរភាព HAYដែលបានក្លាយជាវត្ថុបញ្ចាំ ដោយសារតែការកេងប្រវ័ញ្ច។
ប្រភព៖ https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security