周日,Polkadot 的去中心化金融(DeFi)中心 Acala 对其新推出的流动性池遭受了重大攻击。 该漏洞让黑客铸造了超过 1.2 亿美元,这是该项目的稳定币。
黑客入侵后不久,Acala 团队在 Twitter 上更新了用户,指出该漏洞源自“iBTC/aUSD 流动性池的错误配置”。 根据该项目,错误配置现已得到纠正。
我们已将该问题确定为 iBTC/aUSD 流动性池(今天早些时候上线)的错误配置,导致大量 aUSD 出现错误
1/— 阿卡拉 (@AcalaNetwork) 2022 年 8 月 14 日
Acala 暂停链上活动
链上数据 揭示 大部分铸造的稳定币仍在 Acala 账户中。 攻击者将一小部分稳定币换成了 Acala 的原生代币 ACA 和其他四个代币。 在撰写本文时,该账户持有价值约 1.27 亿美元的 aUSD,占已铸造代币的 99% 以上。
虽然 Acala 社区尚未就该漏洞做出最终决定,但该团队指出,它已暂停相关账户转移代币。
根据该项目,其他用户的链上活动(例如交换和跨链消息传递)也已暂停,直至另行通知。 该协议指出,它的预言机托盘也被暂停,因此用户不必担心强制清算。
同时,aUSD, 第一个稳定币 在 Polkadot 上,对该事件做出负面反应并失去了美元平价。 在下跌近 50% 至 0.57 美元的交易价格后,截至发稿时,稳定币的交易价格为 0.89 美元。
Acala 的攻击可能不会结束
尽管 Acala 已纠正其池中的错误配置, 该事件增加了去中心化应用程序(dApps)的数量,这些应用程序成为黑客的受害者,黑客总是在寻找可以利用的智能合约漏洞。
基于时间证明 (PoT) 的第 0 层项目 Analog 的创始人 Victor Young 评论了 Acala hack,指出 Polkadot 因其中继链而“设计安全”,但同样不能关于平行链
他表示,如果智能合约开发人员不定期检查他们的代码,未来可能会发生此类 dApp 漏洞。
“在我看来,我们将继续看到更多此类攻击,因为许多 dApp 开发人员在定义其代码的安全属性时没有投入大量精力。 即使智能合约经过审计,代码也未必万无一失。 在这方面,开发人员和 QA 专家需要不断评估以确保代码实现其目标,”他说。