Haker wykorzystuje błąd Acali i emituje 1.28 miliarda wadliwych monet AUSD
Co najmniej jeden haker wykorzystał błąd w puli płynności obsługującej stablecoin aUSD sieci Acala, wybijając 1.28 miliarda monet bez zabezpieczenia i zmuszając kryptowalutę do wycofania się kołek dolara na bit. Deweloperzy stojący za natywną jazdą kryptowalutą DeFi on Polkadot i jego piaskownica Kusama działała szybko, aby uratować swój stablecoin, choć nie bez uniesienia kilku brwi.
W najbardziej dramatycznej sytuacji w niedzielę wartość dolara amerykańskiego spadła do 0.0099 USD. Teraz moneta prawie w pełni się odbudowała – w chwili pisania tego tekstu wynosiła nieco ponad 0.96 USD.
„0xTaylor_ jako pierwszy zauważył atak i napisał na Twitterze, że haker wykorzystał błąd w puli iBTC/AUSD,” Bądź w krypto zgłoszone 14 sierpnia. „Haker połączył konto Ethereum z Acala, a adres został sfinansowany z Binance".
Niezależni detektywi narażony że kilku dodatkowych użytkowników wykorzystało błąd do splądrowania tysięcy dolarów w DOT z puli płynności. Acala zabrała się do tego Twitter, szybko uznając problem.
„Na podstawie wstępnego śledzenia w łańcuchu ponad 99% błędnie wybitych dolarów pozostaje na parałańcuchu Acala”, napisali, „a niewielka część błędnie wybitych dolarów jest wymieniana na ACA i inne tokeny na parałańcuchu Acala”. W tym celu prześledzili większość wadliwych monet portfel. Na Twitterze Acala poprosiła o pomoc biały kapeluszlub etyczni hakerzy.
Acala zareagowała na awarię, wprowadzając swoją sieć w tryb konserwacji i wstrzymując portfel rzekomego hakera. Wstrzymali również funkcje „takie jak swapy, xcm (komunikacja międzyłańcuchowa w Polkadot) oraz informacje o cenach palet oracle do „odwołania” na Cointelegraph.
Kiedy Acala wprowadziła USD w lutym 2022 r., reklamowali niezawodność waluty i opór cenzury. Moneta od początku utrzymuje swój miękki kurs dolara, ale użytkownik Twittera Gr33nHatt3R.dot zbadane Decyzja Acali o zamknięciu i zamrożeniu kont po exploicie.
„Jeśli Acala centralnie kontroluje tę decyzję, czy to naprawdę DeFi? "
Dziś rano Alcala zabrała go do rządzenia, wydając a wniosek aby „pomóc rozwiązać błąd mennicy, przywrócić kurs USD i wznowić operacje Acala”. Członkowie społeczności głosują, czy 16 kont, na których wyśledzono 1.28 miliarda monet, powinno przywrócić krypto spalony i czy kryptowaluta pozostawiona w puli też powinna płonąć.
Dyskusja była luźna i przeważnie w dobrym nastroju — niektórzy członkowie nawet podziękowali zespołowi za ich sumienny wysiłek. „Wyjdziemy z tego silniejsi, pokazując światu wartość zarządzania w łańcuchu”, napisał xiacachen. Inni, choć mniej, wyrażali frustrację.
„Jestem bardzo rozczarowany tym, jak zespół Acali nie poprosił ludzi, aby nie kupowali i nie wymieniali fałszywego dolara amerykańskiego i nie prosili Kucoin przestać handlować USD” – napisał Sharpy. „Ponadto możliwość drukowania pieniędzy w USD z czegokolwiek innego niż zabezpieczenie powinna zostać usunięta na zawsze”.
Przywódca bette7 odpisał: „Wpłaty i wypłaty USD zostały już zatrzymane przez Kucoin i nie są w stanie zatrzymać handlu USD”. Jeśli chodzi o błąd, dodali: „była to dobrze zamierzona funkcja, która wprowadziła lukę umożliwiającą błędną konfigurację w celu wykorzystania systemu. dodamy również dodatkowy mechanizm przełączania awaryjnego, ponieważ żaden kod nie byłby idealny, a błąd zawsze istniałby; w ten sposób zaimplementowaliśmy również możliwość wstrzymywania określonych operacji w łańcuchu”.
Hack firmy Acala pojawił się zaledwie dwa dni po rozmowie z jej założycielem Bryanem Chenem Benzinga o Hack portfela Solany. „Jest to problem z wyciekiem klucza prywatnego zamiast inteligentnej umowy lub błędu protokołu”, powiedział Chen o Solanie. Exploit Acala dwa dni później był błędem inteligentnego kontraktu.
W Benzinga Chen wychwalał wartość otwartego kodu źródłowego, który pozwala „wszystkim, w tym badaczom bezpieczeństwa i użytkownikom, zbadać kod źródłowy aplikacji, aby sprawdzić, czy jest bezpieczny”.
Ale podczas gdy szalał kryzys Acali, powiedział założyciel Analogu, Victor Young Cryptopotato: „Nawet jeśli inteligentna umowa zostanie poddana audytowi, kod może nie być niezawodny. W związku z tym programiści i eksperci ds. kontroli jakości muszą stale oceniać, aby upewnić się, że kod osiąga swoje cele”.
Błąd Acala mógł być czkawką, ale dodatkowe oczy są zawsze najlepsze.
„Ludzie muszą kwestionować każdy projekt o zamkniętym kodzie źródłowym, który twierdzi, że jest zdecentralizowany, ponieważ jest to po prostu niemożliwe” — kontynuował Chen.
Co ciekawe, etyczne zaangażowanie Acali w decentralizację tak szybko zostało zakwestionowane. Ich epizod miał miejsce wkrótce po ataku Curve Financial 9 sierpnia – z którego Binance prawie odzyskał wszystkie fundusze – oraz destabilizacji DAI wywołanej sankcją Tornado Cash 8 sierpnia.
Niech ktoś sprawdzi Księżyc, bo wydaje się, że jest to niebiański czas na podjęcie decyzji i znalezienie kluczowych pytań DeFi.
Przeczytaj powiązane posty:
Odpowiedzialność
Zgodnie z Zaufaj wytycznym projektu, należy pamiętać, że informacje zawarte na tej stronie nie mają na celu i nie powinny być interpretowane jako porady prawne, podatkowe, inwestycyjne, finansowe lub jakiekolwiek inne formy porad. Ważne jest, aby inwestować tylko tyle, na utratę czego możesz sobie pozwolić, a w przypadku jakichkolwiek wątpliwości zasięgnąć niezależnej porady finansowej. Aby uzyskać więcej informacji, sugerujemy zapoznać się z warunkami oraz stronami pomocy i wsparcia udostępnianymi przez wydawcę lub reklamodawcę. MetaversePost zobowiązuje się do sporządzania dokładnych i bezstronnych raportów, jednakże warunki rynkowe mogą ulec zmianie bez powiadomienia.
O autorze
Vittoria Benzine jest pisarką i osobistą eseistką z Brooklynu zajmującą się sztuką współczesną, ze szczególnym uwzględnieniem ludzkich kontekstów, kontrkultury i magii chaosu. Współpracuje z magazynami Maxim, Hyperallergic, Brooklyn Magazine i nie tylko.
Więcej artykułów
Vittoria Benzine jest pisarką i osobistą eseistką z Brooklynu zajmującą się sztuką współczesną, ze szczególnym uwzględnieniem ludzkich kontekstów, kontrkultury i magii chaosu. Współpracuje z magazynami Maxim, Hyperallergic, Brooklyn Magazine i nie tylko.
