האקר ממנף את באג Acala, מנפיק 1.28 מיליארד מטבעות USD פגומים
לפחות האקר אחד ניצל באג במאגר הנזילות התומך ב-aUSD stablecoin של רשת Acala, טבע 1.28 מיליארד מטבעות ללא בטחונות ואילץ את המטבע הקריפטו. יתד דולר לקצב. מפתחים מאחורי נהיגת מטבעות קריפטוגרפיים מקוריים DeFi on מנוקד וארגז החול שלו Kusama פעלו מהר כדי להציל את ה-stablecoin שלהם, אם כי לא בלי להרים כמה גבות.
במצב החמור ביותר ביום ראשון, ערך ה-USD צנח ל-0.0099 דולר. כעת, המטבע התאושש כמעט לחלוטין - נסחר בקצת יותר מ-$0.96 בזמן כתיבת שורות אלו.
"0xTaylor_ הבחין לראשונה במתקפה וצייץ שההאקר ניצל באג במאגר iBTC/AUSD," להיות בקריפטו דיווח ב-14 באוגוסט. "ההאקר קישר חשבון Ethereum לאקלה, והכתובת מומנה מ- בינאנס".
בלשים עצמאיים חשוף שכמה משתמשים נוספים מינפו את הבאג כדי לגזול אלפי דולרים ב-DOT ממאגר הנזילות. אקאלה לקחה טויטר, הכרה במהירות בבעיה.
"בהתבסס על מעקב ראשוני על השרשרת, 99%+ מה-USD שהוטבעו בטעות נשארים ב-Acala parachain", הם כתבו, "עם חלק קטן מה-USD שהוטבעו בטעות שהוחלפו ב-ACA ואסימונים אחרים ב-Acala parachain." הם עקבו אחר עיקר המטבעות הפגומים לזה ארנק. בטוויטר, Acala ביקש את עזרתו של כובע לבןהאקרים, או אתיים.
Acala הגיבה למצב החירום על ידי שליחת הרשת שלהם למצב תחזוקה והשהיית ארנקו של ההאקר לכאורה. הם גם עצרו תכונות "כגון החלפות, xcm (תקשורת צולבת שרשרת ב-Polkadot), והזנת מחירי המזרן של אורקל עד 'הודעה חדשה'", לפי Cointelegraph.
כאשר Acala השיקה דולר ארה"ב בפברואר 2022, הם ציינו את אמינות המטבע התנגדות לצנזורה. המטבע שמר על הצמדת הדולר הרכה שלו מאז ההתחלה, אבל משתמש הטוויטר Gr33nHatt3R.dot נבדק ההחלטה של Acala לסגור ולהקפיא חשבונות בעקבות הניצול.
"אם אקאלה שולטת באופן מרכזי בהחלטה הזו, האם זה באמת DeFi? "
הבוקר, אלקאלה לקחה את זה לממשל, והנפיקה א הצעה כדי "לעזור לפתור את נקודת השגיאה, לשחזר את ה-USD peg ולחדש את פעולות Acala." חברי הקהילה מצביעים אם 16 החשבונות ש-1.28 מיליארד מטבעות התחקו אחריהם צריכים להחזיר את הקריפטו להיות שרוף והאם גם הקריפטו שנותר בבריכה צריך להבעיר.
הדיון היה קליל ובעיקר ברוח טובה - חלק מהחברים אפילו הודו לצוות על המאמץ הנמרץ. "נצא מזה חזקים יותר תוך כדי ראייה לעולם הערך של ממשל על השרשרת" כתב xiacachen. אחרים, אם כי פחות, הביעו תסכולים.
"אני מאוד מאוכזב מאיך שצוות Acala לא ביקש מאנשים לא לקנות ולסחור בדולר ארה"ב מזויף ולא ביקש קוקויין להפסיק לסחור בדולר ארה"ב", כתב שארפי. "כמו כן, יש להסיר לנצח את היכולת להדפיס כסף ב-USD מכל דבר אחר מלבד בטחונות."
Ringleader bette7 כתבה בחזרה: "הפקדה ומשיכה של דולר ארה"ב כבר הופסקה על ידי Kucoin, והם לא מסוגלים לעצור את המסחר בדולר ארה"ב. לגבי הבאג, הם הוסיפו, "זו הייתה תכונה מכוונת היטב שהציגה פרצה המאפשרת להגדרה שגויה לנצל את המערכת. נוסיף גם מנגנון כשל נוסף, מכיוון ששום קוד לא יהיה מושלם, ושגיאה תמיד תהיה קיימת; זו גם הדרך שבה יישמנו את היכולת להשהות פעולות ספציפיות על השרשרת."
הפריצה של Acala מגיעה רק יומיים אחרי שהמייסד בריאן צ'ן שוחח איתו בנזינגה לגבי פריצת ארנק סולנה. "זוהי בעיה של דליפת מפתח פרטי במקום באג חוזה חכם או פרוטוקול", אמר חן על סולנה. ניצול Acala יומיים לאחר מכן היה באג חוזה חכם.
ב-Benzinga, צ'ן העלה את הערך של קוד קוד פתוח, המאפשר "לכולם, כולל חוקרי אבטחה ומשתמשים, לבחון את קוד המקור של האפליקציה כדי לבדוק אם הוא מאובטח".
אבל בזמן שמשבר אקאלה השתולל, אמר מייסד אנלוג ויקטור יאנג קריפטופוטו: "גם אם החוזה החכם יעבור ביקורת, ייתכן שהקוד אינו חסין תקלות. בהקשר זה, מפתחים ומומחי QA צריכים להעריך באופן רציף כדי להבטיח שהקוד משיג את יעדיו."
באג אקלה אולי היה שיהוק, אבל עיניים נוספות הן תמיד הטובות ביותר.
"אנשים צריכים להטיל ספק בכל פרויקט בקוד סגור שמתיימר להיות מבוזר כי זה פשוט בלתי אפשרי", המשיך חן.
מעניין לציין שהמחויבות האתית של Acala עצמו לביזור עלתה בספק כל כך מהר. הפרק שלהם התפתח זמן קצר לאחר התקפת Curve Financial ב-9 באוגוסט - שממנה Binance כמעט החזירה את כל הכספים ממנה - וערעור היציבות ב-DAI שנוצר בעקבות סנקציית Tornado Cash ב-8 באוגוסט.
שמישהו יבדוק את הירח כי זה נראה כמו זמן יציאה או מוות שמימי לשאלות מרכזיות העומדות בבסיס DeFi.
קרא פוסטים קשורים:
כתב ויתור
בקנה אחד עם הנחיות פרויקט אמון, אנא שים לב שהמידע המסופק בדף זה אינו מיועד ואין לפרש אותו כייעוץ משפטי, מס, השקעות, פיננסי או כל צורה אחרת של ייעוץ. חשוב להשקיע רק את מה שאתה יכול להרשות לעצמך להפסיד ולפנות לייעוץ פיננסי עצמאי אם יש לך ספק. למידע נוסף, אנו מציעים להתייחס לתנאים ולהגבלות וכן לדפי העזרה והתמיכה שסופקו על ידי המנפיק או המפרסם. MetaversePost מחויבת לדיווח מדויק וחסר פניות, אך תנאי השוק עשויים להשתנות ללא הודעה מוקדמת.
על המחבר
ויטוריה בנזין היא סופרת אמנות מברוקלין ומסאית אישית המסקרת אמנות עכשווית עם התמקדות בהקשרים אנושיים, תרבות נגד וקסם כאוס. היא תורמת למקסים, Hyperallergic, ברוקלין מגזין ועוד.
מאמרים נוספים
ויטוריה בנזין היא סופרת אמנות מברוקלין ומסאית אישית המסקרת אמנות עכשווית עם התמקדות בהקשרים אנושיים, תרבות נגד וקסם כאוס. היא תורמת למקסים, Hyperallergic, ברוקלין מגזין ועוד.
