Stabilní coin Acala ($aUSD) ekosystému Polkadot byl o víkendu zneužit, což vedlo k tomu, že zlomyslný herec vytěžil 1.2 miliardy dolarů ze vzduchu. Tým Acala „pozastavil“ operace prostřednictvím návrhu nouzového vládnutí, aby problém prošetřil.
15. srpna a návrh na správu byla předložena k „efektivnímu spálení“ 1.288 miliardy USD po zveřejnění zprávy o řetězci od Rady Acala.
1.2 miliardy dolarů v aUSD vytištěných hackerem přes noc a sotva nahlédl do mé časové osy.
Věci mi připadají medvědější, než trh v tuto chvíli stanovuje ceny.
Čeká nás spousta práce. https://t.co/HE2MGlXk0d
— Mike ?️as (?️♂️, ⛳️) (@mdudas) Srpna 14, 2022
Acala zpočátku informovala uživatele o problému kolem 3:14 BST dne XNUMX. srpna a uvedla, že pracují na „zmírnění problému“. Zdroj exploitu byl veřejný hlášeny do 1:14 BST 10. srpna, jen o 99 hodin později. Oznámení potvrdilo, že více než XNUMX % „chybně vyražených aUSD [zůstalo] na parachainu Acala“.
Tento problém jsme identifikovali jako nesprávnou konfiguraci fondu likvidity iBTC/aUSD (který byl dnes spuštěn dříve), což vedlo k vyražení chyb ve značném množství aUSD.
1/— Acala (@AcalaNetwork) Srpna 14, 2022
Ve vláknu Twitteru, které identifikovalo příčinu zneužití, Acala uvedla, že identifikovala „adresy peněženek, které obdržely chybně vyražené aUSD… s probíhajícím sledováním aktivity v řetězci“.
Chybná konfigurace byla od té doby napravena a adresy peněženek, které obdržely chybně vyražené aUSD, byly identifikovány, přičemž probíhá sledování aktivity v řetězci ohledně těchto adres.
2/— Acala (@AcalaNetwork) Srpna 14, 2022
Pokud jde o potenciální dopad na širší ekosystém Polkadot, Victor Young, zakladatel a hlavní architekt společnosti Analog, uvedl, že
„Stále věřím, že infrastruktura společnosti Polkadot je bezpečná již od návrhu... totéž nelze říci o síti Acala Network, řetězci specifickém pro aplikace přizpůsobené pro zajištění likvidity, ekonomické aktivity a stabilní utilitky coinů na platformě.
Podle mého názoru se budeme i nadále setkávat s dalšími útoky, protože mnoho vývojářů dApp se při definování bezpečnostních vlastností svého kódu nezabývá. I když je inteligentní smlouva auditována, kód nemusí být spolehlivý.“
Rámec řízení a vedení
Síť Acala se zavazuje předložit návrh na správu komunity, který rozhodne o řešení incidentu. V současné době má Acala správní radu obsahující pět adres.
Podle Plán pojmu pro Acala je „úplná demokracie“ stále ve fázi „plánování“. Plán fáze 3, který je téměř kompletní, uvádí:
„Rozhodnutí nadace Acala týkající se sítě (upgrade za běhu, vylepšení atd.) jsou transparentní v řetězci prostřednictvím hlasování jmenované generální radou Acala.
Acala také umožnila prvek demokracie, „aby kdokoli mohl navrhnout referendum složením minimálního množství žetonů na určité období“. „Plná demokracie“ je však naplánována na fázi 4, která nebude zavedena, dokud nebudou splněny níže uvedené kontrolní body.
– Všechny protokoly DeFi jsou bootstrapped, běží s vysokou stabilitou a bezpečností po rozumnou dobu (aby bylo zajištěno, že protokoly budou v pořádku během extrémně kolísavého trhu.)
– Síť má dostatečné množství likvidity pro napájení protokolů a likvidita je udržitelná.
– Pro každý protokol DeFi byly nastaveny zdravé a transparentní procesy pro průběžné vylepšování Business-as-Usual (BAU), např. přidávání nových obchodních párů nebo nových kolaterálů.
– Byli identifikováni odborní radní, jako je hodnotitel rizik, technický posuzovatel atd., aby i nadále zajišťovali zabezpečení a bezpečnost sítě a protokolů.
– Acala EVM je dostatečně vyvinutý s funkčností a zabezpečením na úrovni výroby.
Proto se podle současného procesu řízení zdá, že si rada Acala stále ponechává nadměrnou kontrolu nad sítí. I když to nemusí být skvělé pro úroveň decentralizované povahy protokolu, může to společnosti Acala pomoci při správě rozlišení a „vyřešit chybu v aUSD a obnovit aUSD peg“.
Předsevzetí a řešení
Aby zmírnila další riziko, Acala uvedla, že „přenos nativních tokenů parachainu byl deaktivován“, takže zabraňte chybnému aUSD opustit svůj nativní parachain a šířit nákazu do širšího ekosystému Polkadot.
V době psaní tohoto článku je aUSD oceněn na 0.88 $ za token poté, co klesl na minimum 0.09 $. Peg se zdá být mezi 0.90 a 0.80 dolary, stále asi 10 % – 20 % pod požadovaným pegem.
Acala zveřejnila aktualizaci situace v pondělí ráno a potvrdila hodnotu vyraženého aUSD na 1.288 miliardy dolarů. Tweet obsahoval a příspěvek na fórum podrobně popisující „výsledky sledování“.
Zpráva o trasování incidentu č. 1: Toto je první publikovaná dávka výsledků trasování. Chybně vyražené aUSD 1B byly identifikovány a jejich převody jsou zakázány, dokud čekající rozhodnutí o správě komunity Acala chybu nevyřeší.
Níže uvedené vlákno:https://t.co/KazsYLxzqK
— Acala (@AcalaNetwork) Srpna 15, 2022
Tým Acala potvrdil, že tyto informace lze nyní použít k „ověření dat v řetězci a formulování návrhů na vyřešení chyby aUSD“.
Konkrétní příčina incidentu je uvedena v příspěvku na fóru.
“2022-08-13 22:41 UTC – Fond iBTC/aUSD byl uzákoněn s nesprávnou konfigurací a byla zahájena chybná mincovna.“
„Špatná konfigurace“ vedla k tomu, že aUST byl chybně vyražen a finanční prostředky byly zaslány několika poskytovatelům LP pro pool. Tyto prostředky byly v současnosti účinně zmrazeny, jak potvrdila společnost Acala:
"Vyměněná digitální aktiva, která zůstávají na parachainu Acala, byla od té doby znemožněna do doby, než komunita Acala rozhodne o kolektivní správě o vyřešení ražby chyb."
Od vydání aktualizace „Referenda“ návrh byl předložen. The návrh nemá v době tisku žádné „ne“ hlasy – s cílem „efektivně spálit“ chybný aUSD jeho vrácením do protokolu Honzon.
Návrh obsahuje kód nutný k přesunu finančních prostředků na pseudovypalovací adresu a uvádí všechny adresy přítomné ve zjištěních Acala.
Zdroj: https://cryptoslate.com/acala-submits-governance-proposal-to-burn-1-28b-ausd-following-investigation-of-exploit/