Stablecoin Acala ($aUSD) Polkadot ekosistema pretrpio je eksploataciju tokom vikenda što je dovelo do toga da je zlonamjerni akter iskovao 1.2 milijarde dolara iz ničega. Tim Acale je "pauzirao" operacije putem prijedloga uprave za hitne slučajeve kako bi se istražio problem.
15. avgusta, a prijedlog upravljanja je podnijet na “efikasno spaljivanje” 1.288 milijardi aUSD nakon objavljivanja on-lanca izvještaja Vijeća Acale.
1.2 milijarde aUSD odštampanih od strane hakera preko noći i jedva da je u mojoj vremenskoj liniji.
Stvari mi se čine više medvjedastima nego što tržište određuje u ovom trenutku.
Imamo puno posla. https://t.co/HE2MGlXk0d
— Mike ?️as (?️♂️, ⛳️) (@mdudas) Avgust 14, 2022
Acala je prvobitno obavijestila korisnike o problemu oko 3 sata ujutro po BST 14. avgusta, navodeći da rade na “ublažavanju problema”. Izvor eksploatacije bio je javan prijavljeno do 1:14 BST 10. avgusta, samo 99 sati kasnije. Saopštenje je potvrdilo da je preko XNUMX% „pogrešno iskovanih USD [ostalo] na Acala parachainu“.
Identifikovali smo problem kao pogrešnu konfiguraciju iBTC/aUSD fonda likvidnosti (koji je pokrenut ranije danas) što je rezultiralo greškama u značajnoj količini od aUSD
1/— Acala (@AcalaNetwork) Avgust 14, 2022
U okviru Twitter teme koja je identifikovala uzrok eksploatacije, Acala je naveo da je identifikovao „adrese novčanika koje su primile pogrešno iskovane aUSD... sa praćenjem aktivnosti na lancu“ u toku.
Pogrešna konfiguracija je od tada ispravljena i identifikovane su adrese novčanika koje su primile greškom iskovane aUSD, a praćenje aktivnosti na lancu u vezi sa ovim adresama je u toku
2/— Acala (@AcalaNetwork) Avgust 14, 2022
Što se tiče potencijalnog uticaja na širi ekosistem Polkadot, Victor Young, osnivač i glavni arhitekta kompanije Analog, prokomentarisao je da
“Još uvijek vjerujem da je Polkadot-ova infrastruktura sigurna po dizajnu… isto se ne može reći za Acala Network, lanac specifičan za aplikacije prilagođen za napajanje likvidnosti, ekonomske aktivnosti i stabilne novčiće na platformi.
Po mom mišljenju, nastavićemo da viđamo više ovih napada jer mnogi programeri dApp aplikacija ne ulažu trud kada definišu bezbednosna svojstva svog koda. Čak i ako je pametni ugovor revidiran, kod možda neće biti siguran.”
Okvir upravljanja i liderstvo
Mreža Acala se obavezuje na prijedlog uprave zajednice kako bi se odlučilo o rješenju incidenta. Trenutno, Acala ima Upravno vijeće koje sadrži pet adresa.
Prema Mapa puta pojma za Acalu, “puna demokratija” je još uvijek u fazi “planiranja”. Plan puta za Fazu 3, koji je skoro završen, kaže:
“Odluke Fondacije Acala u vezi s mrežom (nadogradnja vremena izvršavanja, poboljšanja itd.) postaju transparentne u lancu putem glasanja od strane imenovanog Generalnog vijeća Acale.”
Acala je također omogućila element demokratije “tako da svako može predložiti referendum deponovanjem minimalnog iznosa tokena za određeni period”. Međutim, „puna demokratija“ je predviđena za fazu 4, koja neće biti implementirana dok se ne ispune dole navedene kontrolne tačke.
– Svi DeFi protokoli su pokrenuti, rade sa visokom stabilnošću i sigurnošću u razumnom vremenskom periodu (kako bi se osiguralo da su protokoli ispravni tokom ekstremne nestabilnosti tržišta.)
– Mreža ima dovoljnu količinu likvidnosti za napajanje protokola, a likvidnost je održiva.
– Čvrsti i transparentni procesi su postavljeni za svaki DeFi protokol za kontinuirana poboljšanja poslovanja kao i obično (BAU), npr. dodavanje novih trgovačkih parova ili novih kolaterala.
– Identifikovani su stručni savjetnici kao što su procjenitelj rizika, tehnički procjenitelj itd. koji će nastaviti osiguravati sigurnost i sigurnost mreže i protokola.
– Acala EVM je dovoljno razvijen sa funkcionalnošću i sigurnošću na nivou proizvodnje.
Stoga, prema trenutnom procesu upravljanja, čini se da Vijeće Acale još uvijek zadržava preveliku kontrolu mreže. Iako ovo možda nije sjajno za nivo decentralizovane prirode protokola, može pomoći Acali u upravljanju rezolucijom i „u rješavanju greške aUSD i vraćanju aUSD veza“.
Rezolucije i rješenja
Kako bi ublažio daljnji rizik, Acala je izjavio da je "parachain izvorni tokeni onemogućeni", tako da spriječite pogrešne aUSD da napuste svoj izvorni parachain i da šire zarazu u širi Polkadot ekosistem.
U vrijeme pisanja, aUSD je procijenjen na 0.88 dolara po tokenu nakon što je pao na najniži nivo od 0.09 dolara. Čini se da je veza između 0.90 i 0.80 dolara, što je još nekih 10% – 20% ispod željene veze.
Acala je u ponedjeljak ujutro objavila ažuriranje situacije, potvrđujući vrijednost iskovanih američkih dolara od 1.288 milijardi dolara. Tvit je uključivao a forum post sa detaljima o "rezultatima praćenja".
Izvještaj o tragovima incidenta #1: Ovo je 1. objavljena serija rezultata praćenja. Pogrešno iskovani aUSD od 1.288 B su identifikovani i njihovi transferi su onemogućeni sve dok odluka uprave Acala zajednice na čekanju ne reši grešku.
Tema ispod:https://t.co/KazsYLxzqK
— Acala (@AcalaNetwork) Avgust 15, 2022
Tim Acale je potvrdio da se informacije sada mogu koristiti za "provjeru podataka na lancu i formuliranje prijedloga za rješavanje greške u iznosu od aUSD".
Konkretan uzrok incidenta je vremenski označen u postu na forumu.
“2022-08-13 22:41 UTC – iBTC/aUSD bazen je aktiviran s pogrešnom konfiguracijom i pokrenut je pogrešan mint.”
“Pogrešna konfiguracija” je dovela do toga da je AUST pogrešno iskovan, a sredstva su poslana nekoliko LP provajdera za skup. Ova sredstva su trenutno efektivno zamrznuta, kao što je Acala potvrdio:
“Zamijenjena digitalna imovina koja je ostala na Acala parachainu od tada je onemogućena u čekanju odluke o kolektivnoj upravi zajednice Acala o rješavanju iskopavanja grešaka.”
Od kada je ažuriranje objavljeno, "Referendi" Predlog je dostavljen. The Predlog nema glasova „protiv“ u vreme štampe — sa ciljem da „efikasno spali“ pogrešni aUSD vraćanjem u Honzon protokol.
Prijedlog uključuje šifru neophodnu za premještanje sredstava na pseudo-spaljenu adresu i navodi sve adrese prisutne u Acalinim nalazima.
Izvor: https://cryptoslate.com/acala-submits-governance-proposal-to-burn-1-28b-ausd-following-investigation-of-exploit/