Hacker udnytter Acala-fejlen, udsteder 1.28 milliarder defekte USD-mønter
Mindst én hacker udnyttede en fejl i likviditetspuljen, der understøttede Acala Networks aUSD stablecoin, prægede 1.28 milliarder mønter uden sikkerhed og tvang kryptovalutaen ud af dens dollar peg for et beat. Udviklere bag den indfødte cryptocurrency-kørsel DeFi on Polka prik og dens sandkasse Kusama handlede hurtigt for at redde deres stablecoin, dog ikke uden at løfte et par øjenbryn.
På situationens værste i søndags faldt værdien af USD til $0.0099. Nu er mønten næsten genvundet - handlede lidt over $0.96 i skrivende stund.
"0xTaylor_ bemærkede først angrebet og tweetede, at hackeren udnyttede en fejl i iBTC/AUSD-puljen," Vær i krypto rapporteret den 14. august. "Hackeren linkede en Ethereum-konto til Acala, og adressen blev finansieret fra Binance".
Uafhængige detektiver udsat at flere ekstra brugere udnyttede fejlen til at ransage tusindvis af dollars i DOT fra likviditetspuljen. Acala tog til Twitter, og erkender hurtigt problemet.
"Baseret på foreløbig sporing på kæden, forbliver 99%+ af den fejlagtigt prægede USD på Acala parachain," skrev de, "med en lille andel af fejlagtigt prægede USD, der byttes til ACA og andre tokens på Acala parachain." De sporede hovedparten af defekte mønter til dette pung. På Twitter anmodede Acala om assistance fra hvid hat, eller etiske, hackere.
Acala reagerede på nødsituationen ved at sende deres netværk i vedligeholdelsestilstand og sætte den påståede hackers pung på pause. De standsede også funktioner "såsom swaps, xcm (kommunikation på tværs af kæder på Polkadot) og orakelpallens prisfeeds indtil 'yderligere varsel'" pr. Cointelegraph.
Da Acala lancerede USD i februar 2022, udråbte de valutaens pålidelighed og censur modstand. Mønten har bevaret sin bløde dollarbinding siden starten, men Twitter-brugeren Gr33nHatt3R.dot granskes Acalas beslutning om at lukke og fryse konti efter udnyttelsen.
"Hvis Acala centralt kontrollerer den beslutning, er det så virkelig DeFi? "
I morges tog Alcala det til regeringsførelse og udstedte en forslag for at "hjælpe med at løse fejlen, gendanne aUSD-peg og genoptage Acala-operationer." Fællesskabsmedlemmer stemmer, om de 16 konti, som 1.28 milliarder mønter er blevet sporet til, skal returnere kryptoen til at være brændt og om den krypto, der er tilbage i poolen, også skal flamme.
Diskussionen har været let og i stort set godt humør – nogle medlemmer takkede endda holdet for deres flittige indsats. "Vi vil komme stærkere ud, mens vi viser det til verden værdien af on-chain governance", skrev xiacachen. Andre, skønt færre, udtrykte frustrationer.
"Jeg er meget skuffet over, hvordan Acala-teamet undlod at bede folk om ikke at købe og handle falske USD og ikke spurgte Kucoin at stoppe med at handle med USD,” skrev Sharpy. "Også, muligheden for nogensinde at udskrive USD-penge fra andet end sikkerhed bør fjernes for altid."
Ringleader bette7 skrev tilbage: "Indbetaling og udbetaling af aUSD er allerede blevet stoppet af Kucoin, og de er ikke i stand til at stoppe handel med USD." Med hensyn til fejlen tilføjede de, "dette var en velmenende funktion, der introducerede et smuthul, der tillod fejlkonfiguration at udnytte systemet. vi tilføjer også en ekstra failover-mekanisme, da ingen kode ville være perfekt, og fejl vil altid eksistere; Det er også måden, vi implementerede muligheden for at sætte specifikke operationer på pause på kæden."
Acalas hack ankommer kun to dage efter, at grundlæggeren Bryan Chen talte med Benzinga om a Solana pung hack. "Dette er et problem med lækkende privat nøgle i stedet for en smart kontrakt eller protokolfejl," sagde Chen om Solana. Acala-udnyttelsen to dage senere var en smart kontraktfejl.
I Benzinga lovpriste Chen værdien af åben kildekode, som tillader "alle, inklusive sikkerhedsforskere og brugere, at undersøge applikationens kildekode for at kontrollere, om den er sikker."
Men mens Acala-krisen rasede, fortalte Analog-grundlægger Victor Young Cryptopotato: “Selv hvis den smarte kontrakt er revideret, er koden muligvis ikke idiotsikker. I denne forbindelse skal udviklere og QA-eksperter løbende evaluere for at sikre, at koden når sine mål."
Acala bug kan have været en hikke, men ekstra øjne er altid bedst.
"Folk er nødt til at stille spørgsmålstegn ved ethvert lukket kildeprojekt, der hævder at være decentraliseret, fordi det simpelthen er umuligt," fortsatte Chen.
Interessant nok er Acalas eget etiske engagement i decentralisering kommet så hurtigt i tvivl. Deres episode udspillede sig kort efter Curve Financial-angrebet den 9. august – som Binance næsten har inddrevet alle midler fra – og DAI-destabiliseringen iværksat af Tornado Cash-sanktionen den 8. august.
Nogen tjekker på månen, fordi dette virker som en himmelsk do or die-tid for centrale spørgsmål, der ligger til grund for DeFi.
Læs relaterede indlæg:
Ansvarsfraskrivelse
I tråd med den Trust Project retningslinjer, bemærk venligst, at oplysningerne på denne side ikke er beregnet til at være og ikke skal fortolkes som juridiske, skattemæssige, investeringsmæssige, finansielle eller nogen anden form for rådgivning. Det er vigtigt kun at investere, hvad du har råd til at tabe, og at søge uafhængig finansiel rådgivning, hvis du er i tvivl. For yderligere information foreslår vi at henvise til vilkårene og betingelserne samt hjælpe- og supportsiderne fra udstederen eller annoncøren. MetaversePost er forpligtet til nøjagtig, objektiv rapportering, men markedsforholdene kan ændres uden varsel.
Om forfatteren
Vittoria Benzine er en Brooklyn-baseret kunstskribent og personlig essayist, der dækker samtidskunst med fokus på menneskelige sammenhænge, modkultur og kaosmagi. Hun bidrager til Maxim, Hyperallergic, Brooklyn Magazine og mere.
Flere artikler
Vittoria Benzine er en Brooklyn-baseret kunstskribent og personlig essayist, der dækker samtidskunst med fokus på menneskelige sammenhænge, modkultur og kaosmagi. Hun bidrager til Maxim, Hyperallergic, Brooklyn Magazine og mere.
