Hack de Ankr : 5 millions de dollars volés par un employé
Il a pris la porte, et le coffre-fort avec – Après avoir subi un hack d’un montant de 5 millions de dollars le 1 décembre, Ankr revient sur cet exploit réalisé par un ex-employé, et explique comment et pourquoi c’est arrivé.
Quand l’employé de Ankr part avec la caisse
20 trillions de BNB (20 000 milliards). C’est le nombre de tokens qui ont été fabriqués de manière illégale sur le protocole. Sous forme de aBNBc (BNB Ankr Reward Bearing Staked), ces jetons produits en masse ont été immédiatement échangés contre un montant de 5 millions de dollars, en USDC.
Ankr revient sur ce hack dans une communication sur son blog, expliquant que cette faille, qui a permis la création de ces tokens, a été injectée dans le code de manière intentionnelle.
Dans sa déclaration, le protocole explique qu’aujourd’hui la faille est maitrisée, et que la sécurité a été totalement rétablie par son équipe.
« L’exploit a été possible en partie parce qu’il y avait un point de défaillance unique dans notre clé de développeur. Nous allons maintenant implémenter l’authentification multi-signatures pour les mises à jour qui nécessiteront l’approbation de tous les dépositaires de clés pendant des intervalles limités dans le temps, ce qui rendra une future attaque de ce type extrêmement difficile, voire impossible. Ces fonctionnalités amélioreront la sécurité du nouveau contrat ankrBNB et de tous les jetons Ankr.»
Le coupable de ce hack est donc un ancien employé de Ankr, qui a intégré du code malicieux avant de quitter la société. Grâce à ces quelques lignes, il a pu récupérer la clé privée permettant de générer des tokens à l’infini. L’enquête est encore en cours et Ankr travaille main dans la main avec les forces de l’ordre pour poursuivre en justice cet ex-employé.
Revoir le recrutement et rembourser les utilisateurs
Ankr annonce également revoir ses processus RH afin de mieux sélectionner ses collaborateurs.
« Ankr s’est également engagé à améliorer les pratiques en matière de ressources humaines. Il exigera des vérifications d’antécédents « intensifiées » pour tous les employés, même ceux qui travaillent à distance. Il examinera aussi les droits d’accès pour s’assurer que les données sensibles ne sont accessibles qu’aux travailleurs qui en ont besoin. L’entreprise mettra également en place de nouveaux systèmes de notification pour alerter l’équipe plus rapidement en cas de problème. »
Après avoir sécurisé le protocole, l’une des premières étapes mises en place a été de corriger les dommages causés, par effet, dominos, notamment à la plateforme Helio. Plus de 15 millions de dollars auraient été dépensés pour permettre de repeg le token HAY (stablecoin).
Concernant ses utilisateurs, le protocole annonce que la réémission de jetons aBNBb et aBNBc est envisagée. 5 millions de dollars de fond propre seront mis en place pour assurer la valeur de ces tokens, qui seront distribués aux personnes flouées. Un plan de remboursement est en cours de mise en place.
Les hacks font malheureusement partie de la vie des protocoles décentralisés, et à chaque fois, les pertes sont catastrophiques. Mais ce genre de piratage fait encore plus mal quand il est orchestré de l’intérieur, par une personne à qui l’on a fait confiance.
Restez toujours très prudent, ne donnez jamais trop d’informations sur l’état de vos wallets ou de vos cryptomonnaies, même aux personnes qui vous sont proches. La prudence est primordiale quand de l’argent est en jeu.
En crypto, ne faites pas l’économie de la prudence ! Ainsi, pour conserver vos avoirs cryptographiques à l’abri, la meilleure solution est encore un wallet hardware personnel. Chez Ledger, il y en a pour tous les profils et toutes les cryptos. N’attendez pas pour mettre vos capitaux en sécurité (lien commercial) !