Platforma stablecoin z ekosystemu Polkadot Acala ($aUSD) doznała w weekend exploita, który doprowadził do tego, że złośliwy gracz wybił z powietrza 1.2 miliarda dolarów. Zespół Acali „wstrzymał” operacje za pomocą propozycji zarządzania kryzysowego w celu zbadania problemu.
15 sierpnia propozycja zarządzania został złożony w celu „skutecznego spalenia” 1.288 miliarda USD po opublikowaniu raportu on-chain z Rady Acala.
1.2 miliarda dolarów wydrukowanych przez hakera w nocy i ledwie zerknięcie na moją oś czasu.
Sprawy wydają mi się bardziej niedźwiedzie, niż wycenia rynek w tym konkretnym momencie.
Przed nami dużo pracy. https://t.co/HE2MGlXk0d
— Mike 🌪️as (🏌️♂️, ⛳️) (@mdudas) 14 sierpnia 2022 r.
Acala początkowo powiadomiła użytkowników o problemie około godziny 3 nad ranem 14 sierpnia, stwierdzając, że pracują nad „złagodzeniem problemu”. Źródło exploita było publicznie zgłaszane do 1:14 BST 10 sierpnia, zaledwie 99 godzin później. Ogłoszenie potwierdziło, że ponad XNUMX% „błędnie wybitych USD [pozostało] na parachainie Acala”.
Zidentyfikowaliśmy problem jako błędną konfigurację puli płynności iBTC/aUSD (która została uruchomiona wcześniej dzisiaj), co spowodowało powstanie błędnych mennic o znacznej wartości USD
1/— Acala (@AcalaNetwork) 14 sierpnia 2022 r.
W wątku na Twitterze, który zidentyfikował przyczynę exploita, Acala stwierdziła, że zidentyfikowała „adresy portfela, które otrzymały błędnie wybite USD… ze śledzeniem aktywności w łańcuchu”.
Błędna konfiguracja została od tego czasu naprawiona i zidentyfikowano adresy portfela, które otrzymały błędnie wybite aUSD, a śledzenie aktywności w sieci w odniesieniu do tych adresów jest w toku
2/— Acala (@AcalaNetwork) 14 sierpnia 2022 r.
Odnosząc się do potencjalnego wpływu na szerszy ekosystem Polkadot, Victor Young, założyciel i główny architekt firmy Analog, skomentował, że
„Nadal uważam, że infrastruktura Polkadot jest bezpieczna z założenia… tego samego nie można powiedzieć o Acala Network, łańcuchu aplikacji dostosowanym do zasilania płynności, aktywności gospodarczej i stabilnego wykorzystania monet na platformie.
Moim zdaniem będziemy nadal widzieć więcej takich ataków, ponieważ wielu programistów dApp nie wkłada pracy w definiowanie właściwości bezpieczeństwa swojego kodu. Nawet jeśli inteligentna umowa zostanie poddana audytowi, kod może nie być niezawodny”.
Ramy zarządzania i przywództwo
Sieć Acala zobowiązuje się do przedstawienia propozycji zarządzania społecznością, aby podjąć decyzję o rozwiązaniu incydentu. Obecnie Acala ma Radę Zarządzającą, która składa się z pięciu adresów.
Według Mapa drogowa pojęcia dla Acali „pełna demokracja” jest wciąż w fazie „planowania”. Mapa drogowa Fazy 3, która jest prawie ukończona, stwierdza:
„Decyzje Fundacji Acala dotyczące sieci (aktualizacja środowiska wykonawczego, ulepszenia itp.) są przejrzyste w łańcuchu poprzez głosowanie przez wyznaczoną Radę Generalną Acala”.
Acala umożliwiła również element demokracji, „aby każdy mógł zaproponować referendum, deponując minimalną ilość tokenów na określony czas”. Jednak „pełna demokracja” jest zaplanowana na fazę 4, która nie zostanie wdrożona, dopóki nie zostaną spełnione poniższe punkty kontrolne.
– Wszystkie protokoły DeFi są ładowane, działają z wysoką stabilnością i bezpieczeństwem przez rozsądny okres czasu (aby zapewnić, że protokoły działają poprawnie podczas skrajnej zmienności rynku).
– Sieć ma wystarczającą ilość płynności do zasilania protokołów, a płynność jest zrównoważona.
– Stworzono solidne i przejrzyste procesy dla każdego protokołu DeFi w celu ciągłych ulepszeń Business-as-Usual (BAU), np. dodawania nowych par transakcyjnych lub nowych zabezpieczeń.
– Zidentyfikowano radnych ekspertów, takich jak oceniający ryzyko, asesor techniczny itp., aby nadal zapewniać bezpieczeństwo sieci i protokołów.
– Acala EVM jest wystarczająco rozwinięta z funkcjonalnością i bezpieczeństwem klasy produkcyjnej.
Dlatego, zgodnie z obecnym procesem zarządzania, Rada Acala nadal wydaje się zachować nadmierną kontrolę nad siecią. Chociaż może to nie być dobre dla poziomu zdecentralizowanego charakteru protokołu, może pomóc Acali w zarządzaniu rozdzielczością i „rozwiązać błąd mennicy USD i przywrócić peg USD”.
Uchwały i rozwiązania
Aby złagodzić dalsze ryzyko, Acala stwierdziła, że „natywne tokeny parachain zostały wyłączone”, więc powstrzymaj błędne USD przed opuszczeniem swojego natywnego parachain i rozprzestrzenianiem się zarazy w szerszym ekosystemie Polkadot.
W chwili pisania tego tekstu wartość USD wynosi 0.88 USD za token po tym, jak spadła do 0.09 USD. Wygląda na to, że kołek wynosi od 0.90 do 0.80 USD, nadal około 10% - 20% poniżej pożądanego kołka.
Acala opublikowała aktualizację sytuacji w poniedziałek rano, potwierdzając wartość wybitego dolara na poziomie 1.288 mld USD. Tweet zawierał forum postu wyszczególniając „wyniki śledzenia”.
Raport śledzenia incydentu nr 1: Jest to pierwsza opublikowana partia wyników śledzenia. Zidentyfikowano błędnie wybite 1 mld USD, a ich transfery są wyłączone, dopóki oczekująca decyzja w sprawie zarządzania społecznością Acala nie rozwiąże błędu.
Wątek poniżej:https://t.co/KazsYLxzqK
— Acala (@AcalaNetwork) 15 sierpnia 2022 r.
Zespół Acala potwierdził, że informacje można teraz wykorzystać do „weryfikacji danych w łańcuchu i formułowania propozycji rozwiązania problemu mennicy błędów USD”.
Konkretna przyczyna incydentu jest oznaczona sygnaturą czasową w poście na forum.
“2022-08-13 22:41 UTC – uchwalono pulę iBTC/aUSD z błędną konfiguracją i błędnym uruchomieniem mennicy.”
„Błędna konfiguracja” doprowadziła do tego, że AUST został błędnie wybity, a fundusze zostały wysłane do kilku dostawców LP w celu uzyskania puli. Obecnie fundusze te zostały skutecznie zamrożone, co potwierdził Acala:
„Zamienione zasoby cyfrowe, które pozostają w parachainie Acala, zostały od tego czasu wyłączone w oczekiwaniu na decyzję zbiorowego zarządzania społecznością Acala dotyczącą rozwiązania problemu bicia błędów”.
Od czasu wydania aktualizacji „Referenda” wniosek zostały przesłane. The wniosek nie ma głosów „nie” od czasu prasy – dążąc do „skutecznego spalenia” błędnych USD poprzez przywrócenie ich do protokołu z Honzon.
Propozycja zawiera kod wymagany do przeniesienia środków na adres pseudo-wypalenia i wymienia wszystkie adresy obecne w odkryciach Acali.
- Bitcoin
- blockchain
- zgodność z technologią blockchain
- konferencja blockchain
- coinbase
- pomysłowość
- Zgoda
- konferencja kryptograficzna
- wydobycie kryptograficzne
- kryptowaluta
- CryptoSlate
- Zdecentralizowane
- DeFi
- Zasoby cyfrowe
- ethereum
- hacki
- uczenie maszynowe
- niezamienny żeton
- przerwa
- spadochrony
- plato
- Platon Ai
- Analiza danych Platona
- Platoblockchain
- PlatoDane
- platogaming
- Wielokąt
- dowód stawki
- Stablecoins
- W3
- zefirnet