Stabilný coin Acala ($aUSD) ekosystému Polkadot bol cez víkend zneužitý, čo viedlo k tomu, že zlomyseľný herec vydoloval 1.2 miliardy dolárov z ničoho. Tím Acala „pozastavil“ operácie prostredníctvom návrhu núdzového riadenia, aby problém vyšetril.
Dňa 15. augusta a návrh riadenia bol predložený na „efektívne spálenie“ 1.288 miliardy USD po zverejnení správy o reťazci od Rady Acala.
1.2 miliardy USD vytlačených hackerom cez noc a sotva nahliadol do mojej časovej osi.
Veci sa mi zdajú medvedejšie ako ceny trhu v tomto konkrétnom momente.
Čaká nás veľa práce. https://t.co/HE2MGlXk0d
— Mike ?️as (?️♂️, ⛳️) (@mdudas) Augusta 14, 2022
Spoločnosť Acala pôvodne informovala používateľov o probléme okolo 3:14 BST XNUMX. augusta a uviedla, že pracujú na „zmiernení problému“. Zdroj exploitu bol verejne hlásené do 1:14 BST 10. augusta, teda len o 99 hodín neskôr. Oznámenie potvrdilo, že viac ako XNUMX % „chybne vyrazených aUSD [zostalo] na parachaine Acala“.
Tento problém sme identifikovali ako nesprávnu konfiguráciu fondu likvidity iBTC/aUSD (ktorý bol dnes zverejnený skôr), čo viedlo k chybám vo významnej výške aUSD.
1/— Acala (@AcalaNetwork) Augusta 14, 2022
V rámci vlákna na Twitteri, ktoré identifikovalo príčinu zneužitia, Acala uviedla, že identifikovala „adresy peňaženky, ktoré dostali chybne vyrazené aUSD... s prebiehajúcim sledovaním aktivity v reťazci“.
Nesprávna konfigurácia bola odvtedy napravená a boli identifikované adresy peňaženiek, ktoré dostali chybne vyrazené aUSD, pričom prebieha sledovanie aktivity v reťazci vzhľadom na tieto adresy.
2/— Acala (@AcalaNetwork) Augusta 14, 2022
Pokiaľ ide o potenciálny vplyv na širší ekosystém Polkadot, Victor Young, zakladateľ a hlavný architekt spoločnosti Analog, poznamenal, že
„Stále verím, že infraštruktúra spoločnosti Polkadot je bezpečná už od návrhu... to isté sa nedá povedať o sieti Acala Network, reťazci špecifickej pre aplikácie prispôsobené na zabezpečenie likvidity, ekonomickej aktivity a stabilného nástroja na mince na platforme.
Podľa môjho názoru budeme aj naďalej vidieť viac takýchto útokov, pretože mnohí vývojári dApp sa pri definovaní bezpečnostných vlastností svojho kódu nesnažia. Aj keď je inteligentná zmluva kontrolovaná, kód nemusí byť spoľahlivý.“
Rámec riadenia a vedenie
Sieť Acala sa zaväzuje predložiť návrh správy komunity, aby sa rozhodlo o riešení incidentu. V súčasnosti má Acala Správnu radu s piatimi adresami.
Podľa Plán pojmu pre Acala je „úplná demokracia“ stále vo fáze „plánovania“. Plán fázy 3, ktorý je takmer hotový, uvádza:
"Rozhodnutia nadácie Acala týkajúce sa siete (upgrade, vylepšenia atď.) sú transparentné v reťazci prostredníctvom hlasovania menovanej generálnej rady Acala."
Acala tiež umožnila prvok demokracie, „aby každý mohol navrhnúť referendum vložením minimálneho množstva žetónov na určité obdobie“. „Úplná demokracia“ je však naplánovaná na 4. fázu, ktorá sa nezavedie, kým nebudú splnené nižšie uvedené kontrolné body.
– Všetky protokoly DeFi sa zavádzajú, bežia s vysokou stabilitou a bezpečnosťou počas primeraného časového obdobia (aby sa zabezpečilo, že protokoly budú spoľahlivé počas extrémnej nestability trhu.)
– Sieť má dostatočné množstvo likvidity na napájanie protokolov a likvidita je udržateľná.
– Pre každý protokol DeFi boli nastavené spoľahlivé a transparentné procesy pre neustále zlepšovanie typu Business-as-Usual (BAU), napr. pridávanie nových obchodných párov alebo nových záruk.
– Boli identifikovaní odborní poradcovia, ako je hodnotiteľ rizík, technický posudzovateľ atď., aby naďalej zabezpečovali bezpečnosť siete a protokolov.
– Acala EVM je dostatočne vyvinutý s funkčnosťou a bezpečnosťou na úrovni výroby.
Preto sa podľa súčasného procesu riadenia zdá, že Rada v Acale si stále ponecháva nadrozmernú kontrolu nad sieťou. Aj keď to nemusí byť skvelé pre úroveň decentralizovanej povahy protokolu, môže to spoločnosti Acala pomôcť pri správe rozlíšenia a „vyriešiť chybu aUSD a obnoviť naviazanie aUSD“.
Rozlíšenia a riešenia
Na zmiernenie ďalšieho rizika Acala uviedla, že „prenos natívnych tokenov parachain bol deaktivovaný“, takže zabráňte tomu, aby chybný aUSD opustil svoj pôvodný parachain a šíril nákazu do širšieho ekosystému Polkadot.
V čase písania tohto článku má aUSD hodnotu 0.88 USD za token po tom, čo klesol na minimum 0.09 USD. Peg sa zdá byť medzi $ 0.90 a $ 0.80, stále asi 10% – 20% pod požadovaným fixom.
Spoločnosť Acala zverejnila aktualizáciu situácie v pondelok ráno a potvrdila hodnotu vyrazených aUSD na 1.288 miliardy dolárov. Tweet obsahoval a príspevok na fóre s podrobnosťami o „výsledkoch sledovania“.
Správa o sledovaní incidentu č. 1: Toto je prvá publikovaná séria výsledkov sledovania. Boli identifikované chybne vyrazené aUSD 1B a ich prevody sú zakázané, kým chybu nevyrieši čakajúce rozhodnutie o správe komunity Acala.
Vlákno nižšie:https://t.co/KazsYLxzqK
— Acala (@AcalaNetwork) Augusta 15, 2022
Tím Acala potvrdil, že informácie možno teraz použiť na „overenie údajov o reťazci a formulovanie návrhov na vyriešenie chyby v aUSD“.
Konkrétna príčina incidentu je uvedená v príspevku na fóre.
“2022-08-13 22:41 UTC – Fond iBTC/aUSD bol uzákonený s nesprávnou konfiguráciou a spustila sa chybná mincovňa.“
„Nesprávna konfigurácia“ viedla k chybnému razeniu aUST a finančné prostriedky boli zaslané niekoľkým poskytovateľom LP do fondu. Tieto prostriedky boli v súčasnosti účinne zmrazené, ako potvrdila spoločnosť Acala:
"Vymenené digitálne aktíva, ktoré zostali na parachaine Acala, boli odvtedy zablokované, kým komunita Acala rozhodne o kolektívnom riadení o vyriešení chyby pri razení."
Od vydania aktualizácie sa zobrazí „Referenda“ návrh bola odoslaná. The návrh nemá v čase tlače žiadne hlasy „proti“ – s cieľom „efektívne spáliť“ chybné aUSD jeho vrátením do protokolu Honzon.
Návrh obsahuje kód potrebný na presun finančných prostriedkov na pseudopaľovaciu adresu a uvádza zoznam všetkých adries prítomných v zisteniach spoločnosti Acala.
Zdroj: https://cryptoslate.com/acala-submits-governance-proposal-to-burn-1-28b-ausd-following-investigation-of-exploit/