Le stablecoin Acala (aUSD) de l'écosystème Polkadot a subi un exploit au cours du week-end qui a conduit un acteur malveillant à frapper 1.2 milliard de dollars à partir de rien. L'équipe d'Acala a "mis en pause" les opérations via une proposition de gouvernance d'urgence pour enquêter sur le problème.
En août 15, un proposition de gouvernance a été soumis pour "brûler efficacement" 1.288 milliard de dollars aUSD suite à la publication d'un rapport en chaîne du Conseil d'Acala.
1.2 milliard de dollars d'aUSD imprimés par un pirate du jour au lendemain et à peine un coup d'œil dans ma chronologie.
Les choses me semblent plus baissières que ce que le marché évalue en ce moment particulier.
Nous avons beaucoup de travail à faire. https://t.co/HE2MGlXk0d
– Mike 🌪️as (🏌️♂️, ⛳️) (@mdudas) 14 août 2022
Acala a initialement informé les utilisateurs du problème vers 3 heures du matin BST le 14 août, déclarant qu'ils travaillaient pour "atténuer le problème". La source de l'exploit était publiquement rapporté à 1 h 14 BST le 10 août, à peine 99 heures plus tard. L'annonce a confirmé que plus de XNUMX% des "aUSD frappés par erreur [remained] sur Acala parachain."
Nous avons identifié le problème comme une mauvaise configuration du pool de liquidités iBTC/aUSD (qui a été mis en ligne plus tôt dans la journée) qui a entraîné des erreurs de frappe d'un montant important d'aUSD
1/– Acala (@AcalaNetwork) 14 août 2022
Dans le fil Twitter qui a identifié la cause de l'exploit, Acala a déclaré qu'il avait identifié les "adresses de portefeuille qui ont reçu l'aUSD frappé par erreur… avec le suivi de l'activité en chaîne" en cours.
La mauvaise configuration a depuis été corrigée et les adresses de portefeuille qui ont reçu l'aUSD frappé par erreur ont été identifiées, avec un suivi des activités en chaîne concernant ces adresses en cours.
2/– Acala (@AcalaNetwork) 14 août 2022
En ce qui concerne l'impact potentiel sur l'écosystème Polkadot plus large, Victor Young, le fondateur et architecte en chef d'Analog, a déclaré que
«Je crois toujours que l'infrastructure de Polkadot est sécurisée par conception… on ne peut pas en dire autant d'Acala Network, une chaîne spécifique à l'application personnalisée pour alimenter la liquidité, l'activité économique et l'utilité stable des pièces sur la plate-forme.
À mon avis, nous continuerons à voir davantage de ces attaques car de nombreux développeurs dApp ne font pas le travail nécessaire lors de la définition des propriétés de sécurité de leur code. Même si le contrat intelligent est audité, le code peut ne pas être infaillible.
Cadre de gouvernance et leadership
Le réseau Acala s'engage dans une proposition de gouvernance communautaire pour décider de la résolution de l'incident. Actuellement, Acala a un conseil de gouvernance contenant cinq adresses.
Selon le Feuille de route des notions pour Acala, la « pleine démocratie » est encore en phase de « planification ». La feuille de route de la phase 3, qui est presque terminée, indique :
"Les décisions de la Fondation Acala concernant le réseau (mise à niveau de l'exécution, améliorations, etc.) sont rendues transparentes en chaîne via le vote d'un conseil général Acala nommé."
Acala a également permis un élément de démocratie "afin que n'importe qui puisse proposer un référendum en déposant le montant minimum de jetons pendant une certaine période". Cependant, la "démocratie totale" est prévue pour la phase 4, qui ne sera pas mise en œuvre tant que les points de contrôle ci-dessous n'auront pas été atteints.
- Tous les protocoles DeFi sont amorcés, fonctionnant avec une stabilité et une sécurité élevées pendant une période de temps raisonnable (pour garantir que les protocoles sont solides pendant une volatilité extrême du marché.)
– Le réseau dispose d'une quantité suffisante de liquidités pour alimenter les protocoles, et la liquidité est durable.
– Des processus solides et transparents ont été mis en place pour chaque protocole DeFi pour des améliorations continues du Business-as-Usual (BAU), par exemple en ajoutant de nouvelles paires de trading ou de nouvelles garanties.
– Des conseillers experts ont été identifiés tels que l'évaluateur des risques, l'évaluateur technique, etc. pour continuer à assurer la sécurité et la sûreté du réseau et des protocoles.
– Acala EVM est suffisamment développé avec des fonctionnalités et une sécurité de niveau production.
Par conséquent, selon le processus de gouvernance actuel, le Conseil d'Acala semble toujours conserver un contrôle surdimensionné du réseau. Bien que cela ne soit pas formidable pour le niveau de nature décentralisée du protocole, cela peut aider Acala dans la gestion de la résolution et "pour résoudre l'erreur d'aUSD et restaurer le peg aUSD".
Résolutions et solutions
Pour atténuer d'autres risques, Acala a déclaré que "les jetons natifs de parachain ont été désactivés pour le transfert", alors empêchez l'aUSD erroné de quitter sa parachain native et de propager la contagion dans l'écosystème Polkadot plus large.
Au moment de la rédaction de cet article, un USD est évalué à 0.88 $ par jeton après avoir chuté à un minimum de 0.09 $. L'ancrage semble se situer entre 0.90 $ et 0.80 $, toujours environ 10 à 20 % en dessous de son ancrage souhaité.
Acala a publié une mise à jour de la situation lundi matin, confirmant la valeur de l'aUSD frappé à 1.288 milliard de dollars. Le tweet comprenait un post sur le forum détaillant les "résultats de trace".
Rapport de suivi d'incident #1 : Il s'agit du premier lot publié de résultats de suivi. Les 1B aUSD frappés par erreur ont été identifiés et leurs transferts sont désactivés jusqu'à ce qu'une décision de gouvernance de la communauté Acala en attente résolve l'erreur.
Fil ci-dessous :https://t.co/KazsYLxzqK
– Acala (@AcalaNetwork) 15 août 2022
L'équipe d'Acala a confirmé que les informations peuvent désormais être utilisées pour "vérifier les données en chaîne et formuler des propositions pour résoudre l'erreur d'aUSD".
La cause spécifique de l'incident est horodatée dans le post du forum.
“2022-08-13 22:41 UTC - Le pool iBTC / aUSD a été adopté avec une mauvaise configuration et une menthe erronée a commencé.
La "mauvaise configuration" a conduit à la frappe erronée de l'aUST et les fonds ont été envoyés à plusieurs fournisseurs de LP pour le pool. Ces fonds ont été effectivement gelés à l'heure actuelle, comme l'a confirmé Acala :
"Les actifs numériques échangés qui restent sur la parachaîne Acala ont depuis été désactivés dans l'attente de la décision de gouvernance collective de la communauté Acala sur la résolution de l'erreur de frappe."
Depuis la publication de la mise à jour, un "référendum" proposition a été soumis. La proposition n'a pas de vote "non" au moment de mettre sous presse - visant à "brûler efficacement" l'aUSD erroné en le renvoyant au protocole Honzon.
La proposition comprend le code requis pour déplacer les fonds vers une adresse pseudo-brûlée et répertorie toutes les adresses présentes dans les conclusions d'Acala.
- Bitcoin
- blockchain
- conformité de la blockchain
- conférence blockchain
- coinbase
- cognitif
- Consensus
- conférence cryptographique
- extraction de crypto
- crypto-monnaie
- CryptoSlate
- Décentralisé
- DeFi
- Actifs numériques
- Ethereum
- hacks
- machine learning
- jeton non fongible
- coupure de courant
- parachaines
- Platon
- platon ai
- Intelligence des données Platon
- Platoblockchain
- PlatonDonnées
- jeu de platogamie
- Polygone
- la preuve de la participation
- Stablecoins
- W3
- zéphyrnet
