Хакер використовує помилку Acala, випускає 1.28 мільярда несправних монет USD
Принаймні один хакер скористався помилкою в пулі ліквідності, що підтримує стейблкойн aUSD мережі Acala Network, викарбувавши 1.28 мільярда монет без застави та змусивши криптовалюту припинити прив’язка до долара для удару. Розробники, які керують нативною криптовалютою DeFi on Polkadot і його пісочниця Kusama діяв швидко, щоб врятувати свій стейблкоїн, хоча й не без підняття брів.
У найжахливішу ситуацію в неділю вартість aUSD різко впала до $0.0099. Зараз монета майже повністю відновилася – на момент написання статті коштувала трохи більше 0.96 долара.
«0xTaylor_ вперше помітив атаку та написав у Twitter, що хакер скористався помилкою в пулі iBTC/AUSD», Будьте в криптовалюті повідомили 14 серпня. «Хакер пов’язав обліковий запис Ethereum з Acala, і ця адреса фінансувалася з Binance».
Незалежні детективи піддаватися що кілька додаткових користувачів використали помилку, щоб вилучити тисячі доларів у DOT із пулу ліквідності. Acala взяв до Twitter, швидко визнаючи проблему.
«Виходячи з попереднього відстеження в ланцюжку, 99%+ помилково викарбуваних доларів США залишаються на парачейні Acala, — написали вони, — причому невелика частка помилково викарбуваних доларів США обмінюється на ACA та інші токени на парачейні Acala». Вони відстежили основну частину несправних монет до цього кошелек. У Twitter Acala звернувся за допомогою до біла капелюх, або етичних, хакерів.
Acala відреагувала на надзвичайну ситуацію, перевівши свою мережу в режим обслуговування та призупинивши ймовірний гаманець хакера. Вони також призупинили функції, «такі як свопи, xcm (міжланцюгові комунікації на Polkadot) і канали цін на піддони oracle до «подальшого повідомлення», за Cointelegraph.
Коли Acala запустила USD у лютому 2022 року, вони рекламували надійність валюти та опір цензурі. Монета зберігає м’яку прив’язку долара з самого початку, але користувач Twitter Gr33nHatt3R.dot ретельно перевірений Рішення Acala закрити та заморозити облікові записи після експлойту.
«Якщо Acala централізовано контролює це рішення, це дійсно так DeFi? "
Сьогодні вранці Алкала передав це в управління, видавши a пропозиція щоб «допомогти вирішити помилку монетного двору, відновити прив’язку до долара США та відновити операції Acala». Члени спільноти голосують, чи повинні 16 облікових записів, за якими було відстежено 1.28 мільярда монет, повернути криптовалюту спалений і чи має крипта, що залишилася в пулі, також спалахнути.
Обговорення було легким і здебільшого в доброму настрої – деякі члени навіть подякували команді за старанні зусилля. «Ми вийдемо сильнішими, показуючи світові цінність управління в мережі”, – написав xiacachen. Інші, хоча й менше, висловлювали розчарування.
«Я дуже розчарований тим, як команда Acala не змогла попросити людей не купувати та не торгувати фальшивими карбованими доларами США, і не запитала Кукоін припинити торгівлю USD», – написав Шарпі. «Крім того, можливість коли-небудь друкувати гроші в доларах США з будь-чого, окрім застави, має бути вилучена назавжди».
Лідер bette7 написав у відповідь: «Кукойн уже зупинив внесення та зняття USD, і вони не можуть зупинити торгівлю USD». Щодо помилки вони додали: «Це була функція з добрими намірами, яка створила лазівку, яка дозволяла misconfig використовувати систему. ми також додамо додатковий механізм відновлення після відмови, оскільки жоден код не буде ідеальним, і помилка завжди існуватиме; це також спосіб, у який ми реалізували можливість призупиняти певні операції в ланцюжку».
Злом Acala з’явився лише через два дні після розмови із засновником Браяном Ченом Benzinga про a Злом гаманця Solana. «Це проблема витоку приватного ключа, а не смарт-контракт або помилка протоколу», — сказав Чень про Солану. Експлойт Acala через два дні став помилкою смарт-контракту.
У Benzinga Чень вихваляв цінність відкритого вихідного коду, який дозволяє «кожному, включаючи дослідників безпеки та користувачів, вивчати вихідний код програми, щоб перевірити, чи вона безпечна».
Але поки вирувала криза Acala, розповів засновник Analog Віктор Янг Криптопотато: «Навіть якщо смарт-контракт пройшов аудит, код може бути ненадійним. У зв’язку з цим розробники та експерти з контролю якості повинні постійно оцінювати, щоб переконатися, що код досягає своїх цілей».
Можливо, помилка Acala була гикавкою, але додаткові очі завжди найкращі.
«Людям потрібно поставити під сумнів будь-який закритий проект, який претендує на децентралізацію, тому що це просто неможливо», — продовжив Чень.
Цікаво, що власне етичне зобов’язання Acala щодо децентралізації так швидко виявилося під сумнівом. Їхній епізод розгорнувся незабаром після атаки Curve Financial 9 серпня, під час якої Binance майже повернула всі кошти, і дестабілізації DAI, викликаної санкціями Tornado Cash 8 серпня.
Хтось перевірте на Місяці, тому що це схоже на небесний час робити або померти для центральних питань, що підкріплюються DeFi.
Читайте пов'язані публікації:
відмова
Відповідно до Правила проекту Trust, будь ласка, зверніть увагу, що інформація, надана на цій сторінці, не призначена і не повинна тлумачитися як юридична, податкова, інвестиційна, фінансова або будь-яка інша форма консультації. Важливо інвестувати лише те, що ви можете дозволити собі втратити, і звернутися за незалежною фінансовою порадою, якщо у вас виникнуть сумніви. Щоб отримати додаткову інформацію, ми пропонуємо звернутися до положень та умов, а також до сторінок довідки та підтримки, наданих емітентом або рекламодавцем. MetaversePost прагне до точного, неупередженого звітування, але ринкові умови можуть змінюватися без попередження.
про автора
Вітторія Бензін — художній письменник із Брукліна та особистий есеїст, який висвітлює сучасне мистецтво з акцентом на людських контекстах, контркультурі та магії хаосу. Вона співпрацює з Maxim, Hyperallergic, Brooklyn Magazine тощо.
інші статтіВітторія Бензін — художній письменник із Брукліна та особистий есеїст, який висвітлює сучасне мистецтво з акцентом на людських контекстах, контркультурі та магії хаосу. Вона співпрацює з Maxim, Hyperallergic, Brooklyn Magazine тощо.