Stablecoin Acala ($aUSD) Polkadot ekosustava pretrpio je eksploataciju tijekom vikenda koja je dovela do toga da je zlonamjerni akter iskovao 1.2 milijarde dolara iz ničega. Acala tim je "pauzirao" operacije putem hitnog prijedloga upravljanja kako bi istražio problem.
Dana 15. kolovoza, a prijedlog upravljanja je podnesen na "učinkovito spaljivanje" 1.288 milijardi USD nakon objavljivanja on-chain izvješća Vijeća Acale.
1.2 milijarde američkih dolara koje je ispisao haker preko noći i jedva da sam zavirila u moju vremensku liniju.
Stvari mi se čine lošije nego što to tržište određuje u ovom trenutku.
Imamo puno posla. https://t.co/HE2MGlXk0d
— Mike ?️as (?️♂️, ⛳️) (@mdudas) Kolovoz 14, 2022
Acala je prvobitno obavijestila korisnike o problemu oko 3 ujutro BST 14. kolovoza, navodeći da rade na "ublažavanju problema". Izvor iskorištavanja bio je javan izvijestio do 1:14 BST 10. kolovoza, samo 99 sati kasnije. Objava je potvrdila da je više od XNUMX% "pogrešno iskovanih USD [ostalo] na Acala parachainu."
Identificirali smo problem kao pogrešnu konfiguraciju skupa likvidnosti iBTC/aUSD (koji je ranije danas pušten u rad) koja je rezultirala greškama značajnog iznosa aUSD
1/— Acala (@AcalaNetwork) Kolovoz 14, 2022
Unutar teme na Twitteru koja je identificirala uzrok eksploatacije, Acala je izjavio da je identificirao “adrese novčanika koje su primile pogrešno iskovane USD… s praćenjem aktivnosti u lancu” koje je u tijeku.
Pogrešna konfiguracija je u međuvremenu ispravljena i identificirane su adrese novčanika koje su primile greškom iskovane aUSD, a praćenje aktivnosti na lancu u vezi s tim adresama je u tijeku
2/— Acala (@AcalaNetwork) Kolovoz 14, 2022
Što se tiče mogućeg utjecaja na širi ekosustav Polkadot, Victor Young, osnivač i glavni arhitekt tvrtke Analog, komentirao je da
“Još uvijek vjerujem da je Polkadotova infrastruktura sigurna po dizajnu... isto se ne može reći za Acala Network, lanac specifičan za aplikacije prilagođen za napajanje likvidnosti, ekonomske aktivnosti i stabilne novčiće na platformi.
Po mom mišljenju, nastavit ćemo viđati sve više ovakvih napada jer se mnogi razvijači dApp-a ne trude pri definiranju sigurnosnih svojstava koda. Čak i ako je pametni ugovor revidiran, kod možda neće biti siguran.”
Okvir upravljanja i vodstvo
Acala Network obvezuje se na prijedlog upravljanja zajednicom kako bi se odlučilo o rješenju incidenta. Trenutno Acala ima Upravno vijeće koje sadrži pet adresa.
Prema Pojam putokaz za Acala je "puna demokracija" još u fazi "planiranja". Plan puta za fazu 3, koji je skoro završen, navodi:
"Odluke Zaklade Acala u vezi s mrežom (nadogradnja vremena izvođenja, poboljšanja itd.) donose se transparentno u lancu putem glasovanja imenovanog Općeg vijeća Acale."
Acala je također omogućio element demokracije "tako da svatko može predložiti referendum polaganjem minimalne količine tokena za određeno razdoblje." Međutim, "puna demokracija" zakazana je za fazu 4, koja se neće implementirati dok se ne ispune dolje navedene kontrolne točke.
– Svi DeFi protokoli su pokretani, rade uz visoku stabilnost i sigurnost tijekom razumnog vremenskog razdoblja (kako bi se osiguralo da su protokoli ispravni tijekom ekstremne volatilnosti tržišta.)
– Mreža ima dovoljnu količinu likvidnosti za napajanje protokola, a likvidnost je održiva.
– Razumni i transparentni procesi postavljeni su za svaki DeFi protokol za stalna poboljšanja uobičajenog poslovanja (BAU), npr. dodavanje novih trgovinskih parova ili novih kolaterala.
– Identificirani su stručni savjetnici kao što su procjenitelj rizika, tehnički procjenitelj itd. koji će nastaviti osiguravati sigurnost i sigurnost mreže i protokola.
– Acala EVM je dovoljno razvijen s funkcionalnošću i sigurnošću proizvodne razine.
Stoga, prema trenutnom procesu upravljanja, čini se da Acala Vijeće i dalje zadržava preveliku mrežnu kontrolu. Iako ovo možda nije sjajno za razinu decentralizirane prirode protokola, moglo bi pomoći Acali u upravljanju razrješenjem i "rješavanju pogreške u USD-u i vraćanju USD-a."
Rješenja i rješenja
Kako bi ublažio daljnji rizik, Acala je izjavio da su "parachain izvorni tokeni onemogućeni za prijenos", stoga spriječite da pogrešan aUSD napusti svoj izvorni parachain i proširi zarazu na širi Polkadot ekosustav.
U vrijeme pisanja, aUSD je procijenjen na 0.88 USD po tokenu nakon što je pao na najnižu vrijednost od 0.09 USD. Čini se da je vezana vrijednost između 0.90 i 0.80 USD, još uvijek nekih 10% – 20% ispod željene fiksne vrijednosti.
Acala je objavio ažuriranu situaciju u ponedjeljak ujutro, potvrđujući vrijednost iskovanih USD od 1.288 milijardi dolara. Tvit je uključivao a forum post s detaljima o "rezultatima tragova".
Izvješće o praćenju incidenta #1: Ovo je prva objavljena skupina rezultata praćenja. Identificirano je 1B pogrešno iskovanih aUSD i njihovi su prijenosi onemogućeni dok odluka uprave Acala zajednice koja je na čekanju ne riješi pogrešku.
Tema ispod:https://t.co/KazsYLxzqK
— Acala (@AcalaNetwork) Kolovoz 15, 2022
Acala tim potvrdio je da se informacije sada mogu koristiti za "provjeru podataka u lancu i formuliranje prijedloga za rješavanje kovnice pogreške u USD-u."
Konkretan uzrok incidenta je vremenski označen u postu na forumu.
“2022-08-13 22:41 UTC – Pool iBTC/aUSD postavljen je s pogrešnom konfiguracijom i pokrenuto je pogrešno kovanje.”
"Pogrešna konfiguracija" dovela je do pogrešnog skovanja aUST-a, a sredstva su poslana nekoliko pružatelja LP-a za skup. Ta su sredstva trenutačno zapravo zamrznuta, kako je Acala potvrdio:
"Zamijenjena digitalna imovina koja ostaje na Acala parachainu od tada je onemogućena u iščekivanju odluke o kolektivnom upravljanju zajednice Acala o rješavanju pogreške kovanja."
Otkako je ažuriranje objavljeno, "Referendum" prijedlog je podnesen. The prijedlog nema glasova "protiv" u trenutku tiska - s ciljem "učinkovitog spaljivanja" pogrešnog aUSD vraćanjem na Honzonov protokol.
Prijedlog uključuje kod potreban za premještanje sredstava na pseudo-burn adresu i navodi sve adrese prisutne u Acalinim nalazima.
Izvor: https://cryptoslate.com/acala-submits-governance-proposal-to-burn-1-28b-ausd-following-investigation-of-exploit/