Več kot 1.2 milijarde USD nakovanih v izkoriščanju Polkadotovega DeFi Huba Acala

Polkadotovo decentralizirano finančno središče (DeFi) Acala je v nedeljo utrpelo velik napad na svoj na novo ustanovljen likvidnostni sklad. Izkoriščanje je hekerju omogočilo kovanje več kot 1.2 milijarde aUSD, stabilnega kovanca projekta. 

Kmalu po vdoru je ekipa Acala posodobila uporabnike na Twitterju in opozorila, da je izkoriščanje izviralo iz "napačne konfiguracije likvidnostnega sklada iBTC/aUSD." Glede na projekt je bila napačna konfiguracija zdaj odpravljena. 

Težavo smo ugotovili kot napačno konfiguracijo likvidnostnega sklada iBTC/aUSD (ki je začel delovati prej danes), kar je povzročilo napake kovnic znatnega zneska aUSD
1/

— Acala (@AcalaNetwork) Avgust 14, 2022

Acala začasno ustavi dejavnosti v verigi

Onchain podatki razkriva da je večina nakovanih stablecoinov še vedno na računu Acala. Napadalec je majhen del stabilnih kovancev zamenjal za Acalin izvorni žeton ACA in štiri druge žetone. V času pisanja tega članka je bilo na računu približno 1.27 milijarde USD vrednih USD, kar je predstavljalo več kot 99 % kovanih žetonov. 

Medtem ko skupnost Acala še ni sprejela dokončne odločitve o izkoriščanju, je ekipa ugotovila, da je vpletenim računom začasno onemogočila prenos žetonov. 

Glede na projekt so bile dejavnosti v verigi, kot so zamenjave in medverižno sporočanje, do nadaljnjega ustavljene tudi za druge uporabnike. Protokol je ugotovil, da je bila tudi njegova paleta Oracle začasno ustavljena, tako da uporabnikom ni treba skrbeti za prisilno likvidacijo. 

Medtem je aUSD, prvi stablecoin na Polkadot, se je negativno odzval na incident in izgubil pariteto USD. Po padcu za skoraj 50 % na trgovalno ceno 0.57 USD se je stablecoin v času tiska trgoval pri 0.89 USD.

Acalin napad morda še ni konec

Čeprav je Acala popravila napačno konfiguracijo v svojem bazenu, incident povečuje število decentraliziranih aplikacij (dApps), ki so postale žrtve hekerjev, ki vedno iščejo hrošče pametnih pogodb, ki jih lahko izkoristijo. 

Victor Young, ustanovitelj Analog, projekta, ki temelji na dokazovanju časa (PoT) na nivoju 0, je komentiral vdor v Acalo in opozoril, da je Polkadot zaradi svoje relejne verige "varen po zasnovi", vendar ne more povedati o parachainih 

Izjavil je, da bi lahko do takšnih zlorab dApp prišlo v prihodnosti, če razvijalci pametnih pogodb ne bodo redno preverjali svojih kod. 

»Po mojem mnenju bomo še naprej srečevali več teh napadov, ker se številni razvijalci dApp pri definiranju varnostnih lastnosti svoje kode ne potrudijo. Tudi če je pametna pogodba revidirana, koda morda ni zanesljiva. V zvezi s tem morajo razvijalci in strokovnjaki za zagotavljanje kakovosti nenehno ocenjevati, da zagotovijo, da koda doseže svoje cilje,« je dejal.