Følgende artikel hjælper dig med: Hacker udnytter Acala-fejlen, udsteder 1,28 milliarder defekte USD-mønter
USD. Billede af sockurMindst én hacker udnyttede en fejl i likviditetspuljen, der understøttede Acala Networks aUSD stablecoin, prægede 1,28 milliarder mønter uden sikkerhed og tvang kryptovalutaen ud af sin dollar-tilknytning for et slag. Udviklerne bag den indfødte kryptovaluta, der driver DeFi på Polkadot og dens sandkasse Kusama, handlede hurtigt for at redde deres stablecoin, dog ikke uden at løfte et par øjenbryn.
På situationens værste i søndags faldt værdien af USD til $0,0099. Nu er mønten næsten genvundet – handlede lidt over $0,96 i skrivende stund.
“0xTaylor_ bemærkede først angrebet og tweetede, at hackeren udnyttede en fejl i iBTC/AUSD-puljen,” Vær i krypto rapporterede den 14. august. “Hackeren linkede en Ethereum-konto til Acala, og adressen blev finansieret fra Binance.”
Uafhængige detektiver udsat at flere ekstra brugere udnyttede fejlen til at ransage tusindvis af dollars i DOT fra likviditetspuljen. Acala tog til Twitterog erkender hurtigt problemet.
Vi har bemærket et konfigurationsproblem af Honzon-protokollen, som påvirker aUSD. Vi vedtager en hasteafstemning om at sætte operationer på Acala på pause, mens vi undersøger og afhjælper problemet. Vi vil melde tilbage, når vi vender tilbage til normal netværksdrift.
— Acala (@AcalaNetwork) 14. august 2022
“Baseret på foreløbig sporing på kæden, forbliver 99%+ af den fejlagtigt prægede USD på Acala parachain,” skrev de, “med en lille andel af fejlagtigt prægede USD, der byttes til ACA og andre tokens på Acala parachain.” De sporede hovedparten af defekte mønter til dette pung. På Twitter anmodede Acala om hjælp fra white hat, eller etiske, hackere.
Acala reagerede på nødsituationen ved at sende deres netværk i vedligeholdelsestilstand og sætte den påståede hackers pung på pause. De standsede også funktioner “såsom swaps, xcm (kommunikation på tværs af kæder på Polkadot) og orakelpallens prisfeeds indtil ‘yderligere varsel'” pr. Cointelegraph.
Da Acala lancerede aUSD i februar 2022, udråbte de valutaens pålidelighed og censurmodstand. Mønten har bevaret sin bløde dollarbinding siden starten, men Twitter-brugeren Gr33nHatt3R.dot undersøgt Acalas beslutning om at lukke og fryse konti efter udnyttelsen.
“Hvis Acala centralt kontrollerer den beslutning, er det så virkelig DeFi?”
I morges tog Alcala det til regeringsførelse og udstedte en forslag for at “hjælpe med at løse fejlen, gendanne aUSD-peg og genoptage Acala-operationer.” Fællesskabsmedlemmer stemmer, om de 16 konti, som 1,28 milliarder mønter er blevet sporet til, skal returnere kryptoen for at blive brændt, og om den krypto, der er tilbage i puljen, også skal brænde.
Diskussionen har været let og i stort set godt humør – nogle medlemmer takkede endda holdet for deres flittige indsats. “Vi vil komme ud af dette stærkere, alt imens vi viser verden værdien af on-chain governance,” skrev xiacachen. Andre, skønt færre, udtrykte frustrationer.
“Jeg er meget skuffet over, hvordan Acala-teamet undlod at bede folk om ikke at købe og handle falske USD og ikke bad Kucoin om at stoppe med at handle USD,” skrev Sharpy. “Også, muligheden for nogensinde at udskrive USD-penge fra andet end sikkerhed bør fjernes for altid.”
Ringleader bette7 skrev tilbage: “Indbetaling og udbetaling af aUSD er allerede blevet stoppet af Kucoin, og de er ikke i stand til at stoppe handel med USD.” Med hensyn til fejlen tilføjede de, “dette var en velmenende funktion, der introducerede et smuthul, der tillod fejlkonfiguration at udnytte systemet. vi tilføjer også en ekstra failover-mekanisme, da ingen kode ville være perfekt, og fejl vil altid eksistere; Det er også måden, vi implementerede muligheden for at sætte specifikke operationer på pause på kæden.”
Acalas hack ankommer kun to dage efter, at grundlæggeren Bryan Chen talte med Benzinga om et Solana wallet hack. “Dette er et problem med lækkende privat nøgle i stedet for en smart kontrakt eller protokolfejl,” sagde Chen om Solana. Acala-udnyttelsen to dage senere var en smart kontraktfejl.
I Benzinga lovpriste Chen værdien af åben kildekode, som tillader “alle, inklusive sikkerhedsforskere og brugere, at undersøge applikationens kildekode for at kontrollere, om den er sikker.”
Men mens Acala-krisen rasede, fortalte Analog-grundlægger Victor Young Kryptokartoffel: “Selv hvis den smarte kontrakt er revideret, er koden muligvis ikke idiotsikker. I denne forbindelse skal udviklere og QA-eksperter løbende evaluere for at sikre, at koden når sine mål.”
Acala bug kan have været en hikke, men ekstra øjne er altid bedst.
“Folk er nødt til at stille spørgsmålstegn ved ethvert lukket kildeprojekt, der hævder at være decentraliseret, fordi det simpelthen er umuligt,” fortsatte Chen.
Interessant nok er Acalas eget etiske engagement i decentralisering kommet i tvivl så hurtigt. Deres episode udspillede sig kort efter Curve Financial-angrebet den 9. august – som Binance næsten har inddrevet alle midler fra – og DAI-destabiliseringen iværksat af Tornado Cash-sanktionen den 8. august.
Nogen tjekker på månen, fordi dette virker som en himmelsk do or die-tid for centrale spørgsmål, der understøtter DeFi.
Læs relaterede indlæg:
