Πάνω από 1.2 δισεκατομμύρια δολάρια ΗΠΑ κόπηκαν σε ένα Exploit του DeFi Hub Acala της Polkadot

Ο κόμβος αποκεντρωμένης χρηματοδότησης (DeFi) της Polkadot, Acala, υπέστη μεγάλη επίθεση στο νέο δυναμικό ρευστότητας που ξεκίνησε την Κυριακή. Η εκμετάλλευση επέτρεψε στον χάκερ να κόψει περισσότερα από 1.2 δισεκατομμύρια aUSD, το stablecoin του έργου. 

Λίγο μετά το χακάρισμα, η ομάδα της Acala ενημέρωσε τους χρήστες στο Twitter, σημειώνοντας ότι η εκμετάλλευση προήλθε από μια «λανθασμένη διαμόρφωση της δεξαμενής ρευστότητας iBTC/aUSD». Η εσφαλμένη διαμόρφωση έχει πλέον διορθωθεί, σύμφωνα με το έργο. 

Εντοπίσαμε το ζήτημα ως εσφαλμένη διαμόρφωση της ομάδας ρευστότητας iBTC/aUSD (που κυκλοφόρησε νωρίτερα σήμερα) που οδήγησε σε νομισματοκοπεία σφαλμάτων σημαντικού ποσού USD
1/

— Acala (@AcalaNetwork) Αύγουστος 14, 2022

Η Acala αναστέλλει τις δραστηριότητες εντός της αλυσίδας

Δεδομένα Onchain αποκαλύπτει ότι τα περισσότερα από τα κομμένα stablecoin εξακολουθούν να βρίσκονται στον λογαριασμό Acala. Ο εισβολέας αντάλλαξε ένα μικρό κλάσμα των stablecoin με το εγγενές διακριτικό ACA του Acala και τέσσερα άλλα διακριτικά. Τη στιγμή της σύνταξης, ο λογαριασμός διέθετε περίπου 1.27 δισεκατομμύρια δολάρια σε δολάρια ΗΠΑ, που αντιπροσωπεύει περισσότερο από το 99% των κομματιών. 

Ενώ η κοινότητα της Acala δεν έχει λάβει ακόμη την τελική απόφαση για το exploit, η ομάδα σημείωσε ότι είχε αναστείλει τους λογαριασμούς που εμπλέκονται από τη μεταφορά των tokens. 

Σύμφωνα με το έργο, οι δραστηριότητες εντός της αλυσίδας όπως οι ανταλλαγές και η ανταλλαγή μηνυμάτων μεταξύ των αλυσίδων έχουν επίσης σταματήσει για άλλους χρήστες μέχρι νεωτέρας. Το πρωτόκολλο σημείωσε ότι η παλέτα του Oracle έχει επίσης ανασταλεί, επομένως οι χρήστες δεν χρειάζεται να ανησυχούν για αναγκαστική εκκαθάριση. 

Εν τω μεταξύ, το USD, το πρώτο stablecoin στο Polkadot, αντέδρασε αρνητικά στο περιστατικό και έχασε την ισοτιμία του σε δολάρια ΗΠΑ. Αφού έπεσε σχεδόν κατά 50% σε τιμή διαπραγμάτευσης 0.57 $, το stablecoin διαπραγματεύτηκε στα 0.89 $ την ώρα του τύπου.

Η επίθεση του Acala μπορεί να μην είναι το τέλος

Παρόλο που η Acala έχει διορθώσει την εσφαλμένη διαμόρφωση στην πισίνα της, Το περιστατικό προσθέτει στον αριθμό των αποκεντρωμένων εφαρμογών (dApps) που έχουν πέσει θύματα χάκερ που πάντα προσέχουν για σφάλματα έξυπνων συμβολαίων για εκμετάλλευση. 

Ο Victor Young, ο ιδρυτής του Analog, ενός έργου που βασίζεται σε layer-0, proof-of-time (PoT), σχολίασε το hack του Acala, σημειώνοντας ότι το Polkadot είναι «ασφαλές από τη σχεδίασή του» λόγω της αλυσίδας ρελέ του, αλλά το ίδιο δεν μπορεί να ειπωθεί για τα parachains 

Δήλωσε ότι τέτοιου είδους εκμεταλλεύσεις dApp ενδέχεται να συμβούν στο μέλλον εάν οι προγραμματιστές έξυπνων συμβολαίων δεν ελέγχουν τακτικά τους κωδικούς τους. 

«Κατά την άποψή μου, θα συνεχίσουμε να βλέπουμε περισσότερες από αυτές τις επιθέσεις επειδή πολλοί προγραμματιστές dApp δεν ασχολούνται με τον καθορισμό των ιδιοτήτων ασφαλείας του κώδικά τους. Ακόμα κι αν το έξυπνο συμβόλαιο ελεγχθεί, ο κωδικός μπορεί να μην είναι αλάνθαστος. Από αυτή την άποψη, οι προγραμματιστές και οι ειδικοί της QA πρέπει να αξιολογούν συνεχώς για να διασφαλίζουν ότι ο κώδικας επιτυγχάνει τους στόχους του», είπε.