Hackare utnyttjar Acala-bugg, ger ut 1.28 miljarder felaktiga USD-mynt
Minst en hackare utnyttjade en bugg i likviditetspoolen som stödde Acala Networks aUSD stablecoin, präglade 1.28 miljarder mynt utan säkerhet och tvingade bort kryptovalutan. dollar peg för ett slag. Utvecklare bakom den infödda kryptovaluta-körningen DeFi on Polkadot och dess sandlåda Kusama agerade snabbt för att rädda deras stablecoin, men inte utan att höja några ögonbryn.
När situationen var som svårast på söndagen sjönk värdet på USD till 0.0099 USD. Nu har myntet nästan helt återhämtat sig – handlade drygt 0.96 dollar i skrivande stund.
"0xTaylor_ märkte först attacken och twittrade att hackaren utnyttjade en bugg i iBTC/AUSD-poolen," Var i krypto rapporterade den 14 augusti. "Hackaren länkade ett Ethereum-konto till Acala, och adressen finansierades från Binance. "
Oberoende detektiver utsatta att flera ytterligare användare utnyttjade buggen för att plundra tusentals dollar i DOT från likviditetspoolen. Acala tog till Twitter, snabbt erkänner problemet.
"Baserat på preliminär spårning på kedjan, förblir 99 %+ av den felaktigt präglade dollarn på Acala parachain", skrev de, "med en liten andel av felaktigt präglade USD som byttes mot ACA och andra tokens på Acala parachain." De spårade huvuddelen av felaktiga mynt till detta plånbok. På Twitter begärde Acala hjälp av vit hatt, eller etiska, hackare.
Acala svarade på nödsituationen genom att skicka deras nätverk till underhållsläge och pausa den påstådda hackarens plånbok. De stoppade också funktioner "såsom byten, xcm (korskedjad kommunikation på Polkadot) och prismatningarna för orakelpallen tills 'vidare varsel'" per Cointelegraph.
När Acala lanserade USD i februari 2022, hyllade de valutans tillförlitlighet och censurmotstånd. Myntet har behållit sin mjuka dollarpin sedan starten, men Twitter-användaren Gr33nHatt3R.dot granskas Acalas beslut att stänga och frysa konton efter utnyttjandet.
"Om Acala centralt kontrollerar det beslutet, är det verkligen så här DeFi? "
I morse tog Alcala det till styrelse och utfärdade en förslag för att "hjälpa till att lösa felet, återställa aUSD-peg och återuppta Acala-operationer." Gemenskapsmedlemmar röstar på om de 16 konton som 1.28 miljarder mynt har spårats till ska returnera krypton för att vara bränd och om krypton som finns kvar i poolen också ska brinna.
Diskussionen har varit lätt och mest på gott humör – några medlemmar tackade till och med laget för deras idoga insats. "Vi kommer att komma ut det här starkare samtidigt som vi visar det för världen värdet av styrning i kedjan", skrev xiacachen. Andra, om än färre, uttryckte frustrationer.
"Jag är mycket besviken över hur Acala-teamet misslyckades med att be folk att inte köpa och handla falska USD och inte frågade Kucoin att sluta handla med USD”, skrev Sharpy. "Också, möjligheten att någonsin skriva ut USD-pengar från något annat än säkerheter bör tas bort för alltid."
Ringledaren bette7 skrev tillbaka: "Insättning och uttag av USD har redan stoppats av Kucoin, och de kan inte stoppa handel med USD." Angående buggen, tillade de, "det här var en välmenad funktion som introducerade ett kryphål som gjorde det möjligt för felkonfigurering att utnyttja systemet. vi kommer också att lägga till en extra failover-mekanism, eftersom ingen kod skulle vara perfekt och fel alltid skulle finnas; Detta är också sättet vi implementerade möjligheten att pausa specifika operationer i kedjan."
Acalas hack kommer bara två dagar efter att grundaren Bryan Chen pratat med Till bensin om en Solana plånbok hacka. "Det här är ett problem med privat nyckel som läcker istället för ett smart kontrakt eller protokollfel," sa Chen om Solana. Acala-utnyttjandet två dagar senare var ett smart kontraktsfel.
I Benzinga hyllade Chen värdet av öppen källkod, som tillåter "alla, inklusive säkerhetsforskare och användare, att undersöka applikationens källkod för att kontrollera om den är säker."
Men medan Acala-krisen rasade, berättade Analog-grundaren Victor Young Kryptopotatis: "Även om det smarta kontraktet granskas kanske koden inte är idiotsäker. I detta avseende måste utvecklare och QA-experter kontinuerligt utvärdera för att säkerställa att koden uppnår sina mål."
Acala buggen kan ha varit en hicka, men extra ögon är alltid bäst.
"Människor måste ifrågasätta alla projekt med sluten källkod som påstår sig vara decentraliserat eftersom det helt enkelt är omöjligt," fortsatte Chen.
Intressant nog har Acalas eget etiska engagemang för decentralisering ifrågasatts så snabbt. Deras avsnitt utspelade sig kort efter Curve Financial-attacken den 9 augusti – som Binance nästan har fått tillbaka alla medel från – och DAI-destabiliseringen som inleddes av Tornado Cash-sanktionen den 8 augusti.
Någon kollar på månen eftersom detta verkar som en himmelsk do eller dö tid för centrala frågor som ligger till grund DeFi.
Läs relaterade inlägg:
Villkor
I linje med den Riktlinjer för Trust Project, vänligen notera att informationen på den här sidan inte är avsedd att vara och inte ska tolkas som juridisk, skattemässig, investerings-, finansiell eller någon annan form av rådgivning. Det är viktigt att bara investera det du har råd att förlora och att söka oberoende finansiell rådgivning om du har några tvivel. För ytterligare information föreslår vi att du hänvisar till villkoren samt hjälp- och supportsidorna som tillhandahålls av utfärdaren eller annonsören. MetaversePost är engagerad i korrekt, opartisk rapportering, men marknadsförhållandena kan ändras utan föregående meddelande.
Om författaren
Vittoria Benzine är en Brooklyn-baserad konstskribent och personlig essäist som täcker samtidskonst med fokus på mänskliga sammanhang, motkultur och kaosmagi. Hon bidrar till Maxim, Hyperallergic, Brooklyn Magazine och mer.
fler artiklar
Vittoria Benzine är en Brooklyn-baserad konstskribent och personlig essäist som täcker samtidskonst med fokus på mänskliga sammanhang, motkultur och kaosmagi. Hon bidrar till Maxim, Hyperallergic, Brooklyn Magazine och mer.
