12月20日のAnkrチームの発表によると、12月1日に発生した500万ドルのAnkrプロトコルのハッキングは、元チームメンバーによって引き起こされたものだった。

この元従業員は、チーム内のソフトウェアアップデートのパッケージに悪意のあるコードを入れて、「サプライチェーン攻撃」を行った。このソフトウェアがアップデートされると、悪意のあるコードがセキュリティの脆弱性を作り出し、攻撃者は会社のサーバーからチームのデプロイキーを盗むことができた。

チームは当初、この攻撃はプロトコルのスマートコントラクトをアップグレードするために使用されていたデプロイキーが盗まれたことが原因であると発表していた。しかし、その時は、デプロイキーがどのように盗まれたのかは説明されていなかった。

Ankrは、捜査当局と協力し、この元従業員を告発するとしている。また、将来的に鍵へのアクセスを保護するために、セキュリティの強化も図るという。

Ankrで使われているようなアップグレード可能なコントラクトは、OpenZeppelinのチュートリアルによると、アップグレードを行う唯一の権限を持つ「オーナーアカウント」という概念に依存している。盗難の危険があるため、ほとんどの開発者はこれらのコントラクトの所有権をgnosis safeや他のマルチシグネチャアカウントに移している。Ankrチームは、これまでは所有権にマルチシグアカウントを使用していなかったが、今後はそうすると述べ、次のように述べている。

「今回の悪用は、当社の開発者キーに単一障害点があったことが一因だ。私たちは今後、アップデートのためにマルチシグ認証を実装し、時間制限のある間隔ですべての鍵管理者からのサインオフを要求し、この種の攻撃を不可能ではないにしても極めて難しくする予定だ。これらの機能は、新しいankrBNBコントラクトとすべてのAnkrトークンのセキュリティを向上させるだろう」

また、Ankr社は人事慣行の改善も宣言している。また、アクセス権を見直し、機密データに必要な人だけがアクセスできるようにする。また、何か問題が発生したときに、より迅速にチームに警告するための新しい通知システムも導入する予定という。

Ankrプロトコルのハッキングは、12月1日に発覚したものだ。これにより、攻撃者は20兆個のAnkr Reward Bearing Staked BNB(aBNBc)をミントし、分散型取引所ですぐに約500万米ドルのコイン(USDC)に交換し、イーサリアムにブリッジした。チームは、流出の影響を受けたユーザーに同社のaBNBbとaBNBcトークンを再発行し、これらの新しいトークンが完全に裏付けされるように、自身のトレジャリーから500万ドルを出す予定であるという。