Стабилната монета Acala ($aUSD) на екосистемата Polkadot претърпя експлойт през уикенда, който доведе до злонамерен актьор, който изсече 1.2 милиарда долара от нищото. Екипът на Acala „спря“ операциите чрез спешно предложение за управление, за да проучи проблема.
На 15 август а предложение за управление беше представен за „ефективно изгаряне“ на 1.288 милиарда щатски долара след публикуването на доклад във веригата от Съвета на Acala.
$1.2 милиарда USD, отпечатани от хакер за една нощ и едва надникване в моята времева линия.
Нещата ми се струват по-мечи, отколкото цените на пазара в този конкретен момент.
Имаме много работа за вършене. https://t.co/HE2MGlXk0d
— Майк ?️as (?️♂️, ⛳️) (@mdudas) Август 14, 2022
Acala първоначално уведоми потребителите за проблема около 3 сутринта BST на 14 август, заявявайки, че работят за „смекчаване на проблема“. Източникът на експлойта беше публичен съобщи до 1:14 BST на 10 август, само 99 часа по-късно. Съобщението потвърди, че над XNUMX% от „погрешно изсечените USD [останаха] в Acala parachain.”
Идентифицирахме проблема като неправилно конфигуриране на пула от ликвидност iBTC/aUSD (който беше пуснат на живо по-рано днес), което доведе до грешки в монетни дворове на значително количество aUSD
1/— Acala (@AcalaNetwork) Август 14, 2022
В рамките на нишката в Twitter, която идентифицира причината за експлойта, Acala заяви, че е идентифицирал „адресите на портфейлите, които са получили погрешно изсечени USD… с проследяване на дейността във веригата“, което е в ход.
Оттогава неправилната конфигурация е коригирана и адресите на портфейлите, които са получили погрешно изсечения USD, са идентифицирани, като проследяването на дейността във веригата по отношение на тези адреси е в ход
2/— Acala (@AcalaNetwork) Август 14, 2022
По отношение на потенциалното въздействие върху по-широката екосистема Polkadot, Виктор Йънг, основател и главен архитект на Analog, коментира, че
„Все още вярвам, че инфраструктурата на Polkadot е защитена по дизайн… същото не може да се каже за Acala Network, специфична за приложението верига, персонализирана за захранване на ликвидност, икономическа дейност и стабилни монети на платформата.
По мое мнение ще продължим да виждаме повече от тези атаки, защото много разработчици на dApp не влагат усилия, когато дефинират свойствата за сигурност на своя код. Дори интелигентният договор да бъде одитиран, кодът може да не е надежден.“
Управленска рамка и лидерство
Мрежата Acala се ангажира с предложение за управление на общността, за да реши решението на инцидента. В момента Acala има Управителен съвет, съдържащ пет адреса.
Според Пътна карта на идеята за Acala „пълната демокрация“ все още е във фазата на „планиране“. Пътната карта за фаза 3, която е почти завършена, гласи:
„Решенията на фондация Acala относно мрежата (надстройка по време на работа, подобрения и т.н.) се правят прозрачни по веригата чрез гласуване от назначен генерален съвет на Acala.“
Acala също така активира елемент на демокрация, „така че всеки да може да предложи референдум, като депозира минималното количество токени за определен период“. Въпреки това, „пълна демокрация“ е планирана за Фаза 4, която няма да бъде приложена, докато не бъдат изпълнени контролните точки по-долу.
– Всички DeFi протоколи са заредени, работят с висока стабилност и сигурност за разумен период от време (за да се гарантира, че протоколите са здрави по време на изключителна нестабилност на пазара.)
– Мрежата има достатъчно количество ликвидност за захранване на протоколите и ликвидността е устойчива.
– Настроени са стабилни и прозрачни процеси за всеки DeFi протокол за непрекъснати подобрения на обичайния бизнес (BAU), напр. добавяне на нови търговски двойки или нови обезпечения.
– Идентифицирани са експертни съветници като оценител на риска, технически оценител и т.н., които да продължат да гарантират сигурността и безопасността на мрежата и протоколите.
– Acala EVM е достатъчно развит с производствен клас функционалност и сигурност.
Следователно, според текущия процес на управление, Съветът на Acala все още изглежда запазва огромен мрежов контрол. Въпреки че това може да не е чудесно за нивото на децентрализирано естество на протокола, то може да помогне на Acala в управлението на разрешаването и „да разреши грешката на монетния двор на USD и да възстанови фиксирания USD“.
Резолюции и решения
За да смекчи допълнителен риск, Acala заяви, че „прехвърлянето на нативните токени на parachain е деактивирано“, така че спрете погрешните aUSD да напуснат родния си parachain и да разпространят заразата в по-широката екосистема на Polkadot.
Към момента на писане aUSD се оценява на $0.88 за токен, след като падна до минимум от $0.09. Изглежда, че фиксираната стойност е между $0.90 и $0.80, все още около 10% – 20% под желаната фиксирана стойност.
Acala публикува актуализация на ситуацията в понеделник сутринта, потвърждавайки стойността на изсечените USD като 1.288 милиарда долара. Туитът включваше a форум пост с подробно описание на „резултатите от проследяване“.
Доклад за проследяване на инцидент #1: Това е първата публикувана партида резултати от проследяване. 1B погрешно изсечени aUSD са идентифицирани и техните трансфери са деактивирани, докато чакащото решение за управление на общността Acala разреши грешката.
Нишка по-долу:https://t.co/KazsYLxzqK
— Acala (@AcalaNetwork) Август 15, 2022
Екипът на Acala потвърди, че информацията вече може да се използва за „проверка на данните във веригата и формулиране на предложения за разрешаване на грешката на монетния двор на USD“.
Конкретната причина за инцидента е отбелязана във форумната публикация.
“2022-08-13 22:41 UTC – Пулът iBTC/aUSD беше активиран с неправилна конфигурация и стартирането на грешно монетно дворче.“
„Грешната конфигурация“ доведе до погрешно изсичане на aUST и средствата бяха изпратени до няколко доставчици на LP за пула. Тези средства са ефективно замразени в момента, както Acala потвърди:
„Разменените цифрови активи, които остават в парачейна на Acala, оттогава са деактивирани за прехвърляне в очакване на решението за колективно управление на общността на Acala за разрешаване на грешката при изсичане.“
Тъй като актуализацията беше пусната, „Референдум“ предложение е подадено. The предложение няма гласове „против“ към момента на публикуване — с цел „ефективно изгаряне“ на грешния aUSD чрез връщането му към протокола Honzon.
Предложението включва кода, необходим за преместване на средствата към адрес за псевдоизгаряне и изброява всички адреси, присъстващи в констатациите на Acala.
Източник: https://cryptoslate.com/acala-submits-governance-proposal-to-burn-1-28b-ausd-following-investigation-of-exploit/