מרכז הפיננסים המבוזר (DeFi) של Polkadot Acala ספג מתקפה גדולה על מאגר הנזילות החדש שלה שהושק ביום ראשון. הניצול אפשר להאקר להטביע יותר מ-1.2 מיליארד דולר ארה"ב, ה-stablecoin של הפרויקט.
זמן קצר לאחר הפריצה, צוות Acala עדכן משתמשים בטוויטר, וציין כי הניצול מקורו ב"הגדרה שגויה של מאגר הנזילות iBTC/aUSD". התצורה השגויה תוקנה כעת, על פי הפרויקט.
זיהינו את הבעיה כתצורה שגויה של מאגר הנזילות iBTC/aUSD (שעלה לאוויר מוקדם יותר היום) שהביאה לטעויות של כמות משמעותית של aUSD
1/— Acala (@AcalaNetwork) אוגוסט
Acala משעה את פעילויות השרשרת
נתוני Onchain מגלה שרוב המטבעות היציבים המוטבעים עדיין נמצאים בחשבון Acala. התוקף החליף חלק קטנטן מהמטבעות היציבים באסימון המקורי של Acala ACA ובארבעה אסימונים נוספים. בזמן כתיבת שורות אלה, החשבון החזיק כ-1.27 מיליארד דולר של דולר ארה"ב, המייצגים יותר מ-99% מהאסימונים המוטבעים.
בעוד שקהילת Acala עדיין לא קיבלה החלטה סופית על הניצול, הצוות ציין שהוא השעה את החשבונות המעורבים מהעברת האסימונים.
על פי הפרויקט, פעילויות בשרשרת כמו החלפות והעברת הודעות צולבות, הופסקו גם עבור משתמשים אחרים עד להודעה חדשה. הפרוטוקול ציין שגם משטח האורקל שלו הושעה, כך שהמשתמשים לא צריכים לדאוג לחיסול כפוי.
בינתיים, aUSD, ה stablecoin הראשון על Polkadot, הגיב בשלילה לתקרית ואיבד את שוויון הדולר שלו. לאחר ירידה של כמעט 50% למחיר מסחר של 0.57 דולר, ה-stablecoin נסחר ב-0.89 דולר בזמן העיתונות.
אולי ההתקפה של אקאלה לא תהיה הסוף
למרות שאקלה תיקנה את התצורה השגויה בבריכה שלה, האירוע מוסיף למספר היישומים המבוזרים (dApps) שנפלו קורבן להאקרים שתמיד מחפשים באגים חכמים לניצול.
ויקטור יאנג, המייסד של Analog, פרויקט מבוסס שכבה-0, הוכחת זמן (PoT), התייחס לפריצת Acala וציין כי פולקדות "מאבטחת בעיצובה" בשל שרשרת הממסר שלה, אך אותו הדבר לא יכול נאמר על parachains
הוא הצהיר כי ניצול כזה של dApp עשוי להתרחש בעתיד אם מפתחי חוזים חכמים לא יבדקו באופן קבוע את הקודים שלהם.
"לדעתי, נמשיך לראות יותר מהתקפות אלה מכיוון שמפתחי dApp רבים אינם משקיעים את עבודת הרגליים בעת הגדרת מאפייני האבטחה של הקוד שלהם. גם אם החוזה החכם ייבדק, ייתכן שהקוד אינו חסין תקלות. בהקשר זה, מפתחים ומומחי QA צריכים להעריך באופן רציף כדי להבטיח שהקוד משיג את יעדיו", אמר.
Binance חינם $100 (בלעדי): השתמש בקישור זה להירשם ולקבל 100$ בחינם ו-10% הנחה על עמלות על Binance Futures בחודש הראשון (מונחים).
מבצע מיוחד של PrimeXBT: השתמש בקישור זה כדי להירשם ולהזין את קוד POTATO50 כדי לקבל עד $7,000 על ההפקדות שלך.
