ဒီဇင်ဘာ 5 ရက်နေ့တွင် Ankr ပရိုတိုကော၏ ဒေါ်လာ 1 သန်း ဟက်ခ်ခံရမှုသည် အဖွဲ့၀င်ဟောင်းတစ်ဦးကြောင့် ဖြစ်ခဲ့ကြောင်း Ankr အဖွဲ့မှ ဒီဇင်ဘာ 20 ကြေညာချက်အရ သိရသည်။
ဝန်ထမ်းဟောင်းသည် “ထောက်ပံ့ရေးကွင်းဆက်တိုက်ခိုက်မှု” ကို ပြုလုပ်ခဲ့သည်။ ချပြီး အဖွဲ့၏အတွင်းပိုင်းဆော့ဖ်ဝဲလ်အတွက် အနာဂတ်မွမ်းမံမှုများ၏ အထုပ်တစ်ခုထဲသို့ အန္တရာယ်ရှိသောကုဒ်။ ဤဆော့ဖ်ဝဲကို အပ်ဒိတ်လုပ်ပြီးသည်နှင့်၊ အန္တရာယ်ရှိသောကုဒ်သည် တိုက်ခိုက်သူသည် ကုမ္ပဏီ၏ဆာဗာမှ အဖွဲ့၏ဖြန့်ကျက်သော့ကို ခိုးယူနိုင်စေသည့် လုံခြုံရေးအားနည်းချက်တစ်ခု ဖန်တီးခဲ့သည်။
လုပ်ဆောင်ချက်အစီရင်ခံစာ- aBNBc Token Exploit မှ ကျွန်ုပ်တို့၏တွေ့ရှိချက်များ
ဤအကြောင်းကို နက်နက်ရှိုင်းရှိုင်း ဖော်ပြသည့် ဘလော့ဂ် ပို့စ်အသစ်ကို ယခုလေးတင် ထုတ်ပြန်လိုက်ပါသည်။ https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) ဒီဇင်ဘာလတွင် 20, 2022
ယခင်က အသင်းက အမြတ်ထုတ်ကြောင်း ကြေညာခဲ့ဖူးသည်။ ခိုးယူခံရသော deployer သော့ကြောင့်ဖြစ်သည်။ ပရိုတိုကော၏ စမတ်စာချုပ်များကို အဆင့်မြှင့်ရန် အသုံးပြုထားသည်။ သို့သော် ထိုအချိန်တွင်၊ ဖြန့်ကျက်သော့ကို မည်သို့ခိုးယူခဲ့သည်ကို ၎င်းတို့က မရှင်းပြခဲ့ပေ။
Ankr သည် ဒေသဆိုင်ရာအာဏာပိုင်များကို သတိပေးထားပြီး တိုက်ခိုက်သူအား တရားမျှတမှုရှိစေရန် ကြိုးပမ်းလျက်ရှိသည်။ ၎င်းသည် အနာဂတ်တွင် ၎င်း၏သော့များဝင်ရောက်ခွင့်ကို ကာကွယ်ရန်အတွက် ၎င်း၏လုံခြုံရေးအလေ့အကျင့်များကို မြှင့်တင်ရန် ကြိုးပမ်းလျက်ရှိသည်။
Ankr တွင်အသုံးပြုသည့်ကဲ့သို့ အဆင့်မြှင့်နိုင်သော စာချုပ်များသည် တစ်ဦးတည်းသောအခွင့်အာဏာရှိသည့် "ပိုင်ရှင်အကောင့်" ၏သဘောတရားအပေါ်တွင် မူတည်ပါသည်။ လုပ် ဘာသာရပ်ဆိုင်ရာ OpenZeppelin သင်ခန်းစာအရ အဆင့်မြှင့်တင်မှုများ။ ခိုးယူမှုအန္တရာယ်ကြောင့်၊ developer အများစုသည် ဤစာချုပ်များ၏ ပိုင်ဆိုင်မှုကို gnosis ဘေးကင်းသော သို့မဟုတ် အခြားသော လက်မှတ်ပေါင်းများစွာအကောင့်သို့ လွှဲပြောင်းပေးပါသည်။ Ankr အဖွဲ့သည် ယခင်က ပိုင်ဆိုင်ခွင့်အတွက် multisig အကောင့်ကို အသုံးမပြုခဲ့သော်လည်း ယခုမှစပြီး လုပ်ဆောင်သွားမည်ဖြစ်ကြောင်း ပြောကြားခဲ့ပါသည်။
"ကျွန်ုပ်တို့၏ developer key တွင် ရှုံးနိမ့်မှုတစ်ခုရှိသောကြောင့် အမြတ်ထုတ်ခြင်းမှာ တစ်စိတ်တစ်ပိုင်း ဖြစ်နိုင်သည်။ အချိန်ကန့်သတ်ထားသည့်ကြားကာလများအတွင်း အဓိကထိန်းသိမ်းသူများအားလုံးမှ လက်မှတ်ထိုးရန် လိုအပ်မည့် အပ်ဒိတ်များအတွက် Multi-sig စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းကို ယခုအကောင်အထည်ဖော်ဆောင်ရွက်မည်ဖြစ်ပြီး မဖြစ်နိုင်ပါက ဤအမျိုးအစား၏ အနာဂတ်တိုက်ခိုက်မှုကို အလွန်ခက်ခဲစေသည်။ ဤအင်္ဂါရပ်များသည် ankrBNB စာချုပ်အသစ်နှင့် Ankr တိုကင်များအားလုံးအတွက် လုံခြုံရေးကို ပိုမိုကောင်းမွန်စေမည်ဖြစ်သည်။"
Ankr သည် လူသားအရင်းအမြစ်ဆိုင်ရာ အလေ့အကျင့်များကို မြှင့်တင်ရန်လည်း ကတိပြုခဲ့သည်။ ၎င်းသည် ဝန်ထမ်းများအားလုံး၊ အဝေးမှအလုပ်လုပ်သူများပင်လျှင် ဝန်ထမ်းအားလုံးအတွက် “ပြင်းထန်သော” နောက်ခံစစ်ဆေးမှုများ လိုအပ်မည်ဖြစ်ပြီး ၎င်းသည် လိုအပ်သော အလုပ်သမားများသာ ဝင်ရောက်နိုင်ကြောင်း သေချာစေရန် ဝင်ရောက်ခွင့်ဆိုင်ရာ အခွင့်အရေးများကို ပြန်လည်သုံးသပ်မည်ဖြစ်သည်။ ကုမ္ပဏီသည် တစ်ခုခုမှားယွင်းနေချိန်တွင် အသင်းကို ပိုမိုလျင်မြန်စွာသတိပေးနိုင်ရန် အကြောင်းကြားချက်စနစ်အသစ်များကိုလည်း ဖော်ဆောင်ပေးမည်ဖြစ်သည်။
Ankr ပရိုတိုကော ဟက်ခ် ပထမဆုံးရှာဖွေတွေ့ရှိခဲ့သည် ဒီဇင်ဘာ 1 ရက်နေ့တွင် တိုက်ခိုက်သူအား USD Coin တွင် $20 သန်းဝန်းကျင်ဖြင့် ဗဟိုချုပ်ကိုင်မှုလျှော့ချထားသော လဲလှယ်မှုများတွင် ချက်ချင်းလဲလှယ်ခဲ့သည့် Ankr Reward Bearing Staked BNB (aBNBc) 5 ထရီလီယံကို mint လုပ်ခွင့်ပြုခဲ့သည်။USDC) နှင့် Ethereum သို့ ပေါင်းကူးထားသည်။ အဆိုပါ တိုကင်အသစ်များကို အပြည့်အဝ ကျောထောက်နောက်ခံပေးထားကြောင်း သေချာစေရန်အတွက် ၎င်း၏ကိုယ်ပိုင်ဘဏ္ဍာတိုက်မှ ဒေါ်လာ 5 သန်းသုံးစွဲရန် ၎င်း၏ aBNBb နှင့် aBNBc တိုကင်များကို ပြန်လည်ထုတ်ပေးရန် စီစဉ်နေကြောင်း အဖွဲ့မှ ပြောကြားခဲ့သည်။
ဆော့ဖ်ဝဲရေးသားသူသည် ဒေါ်လာ ၁၅ သန်းကိုလည်း အသုံးချခဲ့သည်။ HAY Stablecoin ကို ပြန်ထည့်ပါ။အမြတ်ထုတ်မှုကြောင့် အပေါင်ပစ္စည်း နည်းပါးလာခဲ့သည်။
အရင်းအမြစ်- https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security