Un hacker exploite le bogue Acala et émet 1.28 milliard de pièces aUSD défectueuses
Au moins un pirate informatique a exploité un bogue dans le pool de liquidités prenant en charge le stablecoin aUSD du réseau Acala, frappant 1.28 milliard de pièces sans garantie et forçant la crypto-monnaie à quitter son cheville de dollar pour un battement. Développeurs derrière la conduite native de la crypto-monnaie DeFi on À pois et son bac à sable Kusama a agi rapidement pour sauver leur stablecoin, non sans soulever quelques sourcils.
Au pire de la situation dimanche, la valeur de l'aUSD a chuté à 0.0099 $. Maintenant, la pièce s'est presque complètement rétablie, se négociant à un peu plus de 0.96 $ au moment de la rédaction.
"0xTaylor_ a d'abord remarqué l'attaque et a tweeté que le pirate avait exploité un bogue dans le pool iBTC/AUSD", Soyez en crypto a rapporté le 14 août. "Le pirate a lié un compte Ethereum à Acala, et l'adresse a été financée par Binance. »
Détectives indépendants exposé que plusieurs utilisateurs supplémentaires ont exploité le bogue pour saccager des milliers de dollars en DOT du pool de liquidités. Acala a pris à Twitter, reconnaissant rapidement le problème.
"Sur la base d'un traçage préliminaire en chaîne, plus de 99 % des aUSD frappés par erreur restent sur la parachain Acala", ont-ils écrit, "avec une petite proportion d'aUSD frappés par erreur échangés contre ACA et d'autres jetons sur la parachain Acala". Ils ont retracé la majeure partie des pièces défectueuses à ce portefeuille. Sur Twitter, Acala a demandé l'aide de chapeau blanc, ou éthiques, hackers.
Acala a répondu à l'urgence en mettant son réseau en mode maintenance et en mettant en pause le portefeuille du prétendu pirate informatique. Ils ont également interrompu des fonctionnalités "telles que les swaps, xcm (communications inter-chaînes sur Polkadot) et les flux de prix des palettes oracle jusqu'à" nouvel ordre "", par Cointelegraph.
Quand Acala a lancé aUSD en février 2022, ils ont vanté la fiabilité de la devise et résistance à la censure. La pièce a maintenu son ancrage au dollar depuis le début, mais l'utilisateur de Twitter Gr33nHatt3R.dot scruté La décision d'Acala de fermer et de geler les comptes suite à l'exploit.
"Si Acala contrôle cette décision de manière centralisée, est-ce vraiment DeFi? "
Ce matin, Alcala s'en est pris à la gouvernance, en publiant un proposition pour "aider à résoudre l'erreur menthe, restaurer un ancrage USD et reprendre les opérations Acala". Les membres de la communauté votent pour savoir si les 16 comptes auxquels 1.28 milliard de pièces ont été retracées devraient renvoyer la crypto pour être brûlé et si la crypto laissée dans le pool devrait également flamber.
La discussion a été légère et généralement de bonne humeur – certains membres ont même remercié l'équipe pour ses efforts assidus. "Nous en sortirons plus forts tout en montrant au monde la valeur de la gouvernance en chaîne», a écrit xiacachen. D'autres, bien que moins nombreux, ont exprimé des frustrations.
"Je suis très déçu de la façon dont l'équipe d'Acala n'a pas demandé aux gens de ne pas acheter et échanger de faux aUSD et n'a pas demandé Kucoin pour arrêter de négocier un USD », a écrit Sharpy. "En outre, la possibilité d'imprimer de l'argent en USD à partir d'autre chose que des garanties devrait être supprimée pour toujours."
Ringleader bette7 a répondu: "Le dépôt et le retrait d'aUSD ont déjà été arrêtés par Kucoin, et ils sont incapables d'arrêter le trading d'aUSD." En ce qui concerne le bogue, ils ont ajouté, "c'était une fonctionnalité bien intentionnée qui a introduit une échappatoire permettant à une mauvaise configuration d'exploiter le système. nous ajouterons également un mécanisme de basculement supplémentaire, car aucun code ne serait parfait et une erreur existerait toujours ; c'est également ainsi que nous avons mis en place la possibilité de suspendre des opérations spécifiques sur la chaîne.
Le piratage d'Acala arrive deux jours seulement après que le fondateur Bryan Chen s'est entretenu avec Benzinga autour d'un Le piratage du portefeuille Solana. "Il s'agit d'un problème de fuite de clé privée au lieu d'un contrat intelligent ou d'un bogue de protocole", a déclaré Chen à propos de Solana. L'exploit Acala deux jours plus tard était un bogue de contrat intelligent.
Dans Benzinga, Chen a vanté la valeur du code open source, qui permet à "tout le monde, y compris les chercheurs en sécurité et les utilisateurs, d'examiner le code source de l'application pour vérifier s'il est sécurisé".
Mais alors que la crise d'Acala faisait rage, le fondateur d'Analog, Victor Young, a déclaré Cryptopotato: « Même si le contrat intelligent est audité, le code peut ne pas être infaillible. À cet égard, les développeurs et les experts en assurance qualité doivent évaluer en permanence pour s'assurer que le code atteint ses objectifs. »
Le bug Acala a peut-être été un hoquet, mais des yeux supplémentaires sont toujours préférables.
"Les gens doivent remettre en question tout projet de source fermée qui prétend être décentralisé parce que c'est tout simplement impossible", a poursuivi Chen.
Fait intéressant, l'engagement éthique d'Acala envers la décentralisation a été remis en question si rapidement. Leur épisode s'est déroulé peu de temps après l'attaque de Curve Financial le 9 août - dont Binance a presque récupéré tous les fonds - et la déstabilisation du DAI provoquée par la sanction Tornado Cash le 8 août.
Quelqu'un vérifie la lune parce que cela semble être un moment céleste de faire ou de mourir pour les questions centrales qui sous-tendent DeFi.
Lire les articles liés :
Clause de non-responsabilité
En ligne avec la Lignes directrices du projet de confiance, veuillez noter que les informations fournies sur cette page ne sont pas destinées à être et ne doivent pas être interprétées comme des conseils juridiques, fiscaux, d'investissement, financiers ou toute autre forme de conseil. Il est important d’investir uniquement ce que vous pouvez vous permettre de perdre et de demander des conseils financiers indépendants en cas de doute. Pour plus d'informations, nous vous suggérons de vous référer aux conditions générales ainsi qu'aux pages d'aide et de support mises à disposition par l'émetteur ou l'annonceur. MetaversePost s'engage à fournir des rapports précis et impartiaux, mais les conditions du marché sont susceptibles de changer sans préavis.
A propos de l'auteur
Vittoria Benzine est une écrivaine d'art et essayiste personnelle basée à Brooklyn qui couvre l'art contemporain en mettant l'accent sur les contextes humains, la contre-culture et la magie du chaos. Elle contribue à Maxim, Hyperallergic, Brooklyn Magazine, et plus encore.
Plus d'articlesVittoria Benzine est une écrivaine d'art et essayiste personnelle basée à Brooklyn qui couvre l'art contemporain en mettant l'accent sur les contextes humains, la contre-culture et la magie du chaos. Elle contribue à Maxim, Hyperallergic, Brooklyn Magazine, et plus encore.