Стайблкойн Acala ($aUSD) экасістэмы Polkadot пацярпеў ад эксплойту ў мінулыя выхадныя, у выніку чаго зламыснік адчаканіў 1.2 мільярда долараў з паветра. Каманда Acala "прыпыніла" аперацыі праз экстраную прапанову кіравання для расследавання праблемы.
15 жніўня а прапанова кіравання было прадстаўлена, каб «эфектыўна спаліць» 1.288 мільярда долараў ЗША пасля выхаду справаздачы Савета Acala па ланцужку.
1.2 мільярда долараў у доларах ЗША, надрукаваных хакерам за адну ноч, і я амаль не зірнуў на маю шкалу.
Мне здаецца, што сітуацыя больш мядзведжая, чым цэны на рынку ў гэты канкрэтны момант.
У нас шмат працы. https://t.co/HE2MGlXk0d
— Майк ?️as (?️♂️, ⛳️) (@mdudas) Жнівень 14, 2022
Acala першапачаткова апавясціў карыстальнікаў аб праблеме каля 3 гадзін ночы па брытанскаму стандартнаму часу 14 жніўня, заявіўшы, што яны працуюць над «змякчэннем праблемы». Крыніца эксплойта была публічнай паведамляецца да 1:14 BST 10 жніўня, усяго праз 99 гадзін. Аб'ява пацвердзіла, што больш за XNUMX% «памылкова адчаканеных USD [засталіся] на парачэйне Acala».
Мы вызначылі праблему як няправільную канфігурацыю пула ліквіднасці iBTC/aUSD (які быў запушчаны раней сёння), што прывяло да памылак манетных двароў значнай сумы aUSD
1/— Акала (@AcalaNetwork) Жнівень 14, 2022
У ланцужку Twitter, які вызначыў прычыну эксплойта, Acala заявіў, што ён ідэнтыфікаваў «адрасы кашалькоў, якія атрымалі памылкова адчаканеныя USD… з адсочваннем актыўнасці ў ланцужку».
Няправільная канфігурацыя з тых часоў была выпраўлена, і адрасы кашалькоў, якія атрымалі памылкова адчаканеныя aUSD, былі ідэнтыфікаваныя, з адсочваннем актыўнасці ў ланцужку ў дачыненні да гэтых адрасоў.
2/— Акала (@AcalaNetwork) Жнівень 14, 2022
Што тычыцца патэнцыйнага ўздзеяння на больш шырокую экасістэму Polkadot, Віктар Янг, заснавальнік і галоўны архітэктар Analog, пракаментаваў, што
«Я па-ранейшаму лічу, што інфраструктура Polkadot бяспечная па сваёй задуме... гэтага нельга сказаць пра сетку Acala, спецыфічную ланцужок прыкладанняў, наладжаную для забеспячэння ліквіднасці, эканамічнай дзейнасці і ўтыліты стабільных манет на платформе.
На мой погляд, мы будзем назіраць больш такіх нападаў, таму што многія распрацоўшчыкі dApp не працуюць пры вызначэнні ўласцівасцей бяспекі свайго кода. Нават калі смарт-кантракт правяраецца, код можа быць небяспечным».
Структура кіравання і лідэрства
Сетка Acala бярэ на сябе прапанову па кіраванні супольнасцю, каб прыняць рашэнне аб вырашэнні інцыдэнту. У цяперашні час Acala мае Савет кіравання, які змяшчае пяць адрасоў.
У адпаведнасці з Паняцце дарожная карта для Акалы «поўная дэмакратыя» ўсё яшчэ знаходзіцца ў стадыі «планавання». Дарожная карта фазы 3, якая амаль завершана, абвяшчае:
«Рашэнні фонду Acala адносна сеткі (абнаўленне асяроддзя выканання, паляпшэнні і г.д.) прымаюцца празрыстым у ланцужку шляхам галасавання прызначаным Генеральным саветам Acala».
Acala таксама ўключыў элемент дэмакратыі, «так што кожны можа прапанаваць рэферэндум, унёсшы мінімальную колькасць токенаў на працягу пэўнага перыяду». Тым не менш, «поўная дэмакратыя» запланавана на этап 4, які не будзе рэалізаваны, пакуль не будуць выкананы наступныя кантрольныя пункты.
– Усе пратаколы DeFi загружаюцца, працуюць з высокай стабільнасцю і бяспекай на працягу разумнага перыяду часу (для забеспячэння надзейнасці пратаколаў падчас надзвычайнай валацільнасці рынку).
– Сетка мае дастатковую колькасць ліквіднасці для забеспячэння пратаколаў, і ліквіднасць устойлівая.
– Надзейныя і празрыстыя працэсы былі настроены для кожнага пратакола DeFi для бесперапыннага паляпшэння звычайнага бізнесу (BAU), напрыклад, дадання новых гандлёвых пар або новых закладаў.
– Былі вызначаны дарадцы-эксперты, такія як ацэншчык рызыкі, тэхнічны ацэншчык і г.д., каб працягваць забяспечваць бяспеку і бяспеку сеткі і пратаколаў.
– Acala EVM дастаткова развіты з функцыянальнасцю і бяспекай вытворчага ўзроўню.
Такім чынам, у адпаведнасці з бягучым працэсам кіравання, Савет Acala па-ранейшаму захоўвае надзвычайны кантроль над сеткай. Нягледзячы на тое, што гэта не вельмі добра для ўзроўню дэцэнтралізаванага характару пратаколу, гэта можа дапамагчы Acala ў кіраванні дазволам і «вырашыць памылку манетнага двара USD і аднавіць прывязку USD».
Рэзалюцыі і рашэнні
Каб знізіць далейшы рызыка, Acala заявіў, што «перадача натыўных токенаў парачэйна адключана», таму не давайце памылковаму aUSD пакінуць родны парачэйн і распаўсюдзіць заразу ў больш шырокай экасістэме Polkadot.
На момант напісання артыкула aUSD ацэньваўся ў $0.88 за токен пасля таго, як ён упаў да мінімуму ў $0.09. Прывязка, здаецца, знаходзіцца ў межах ад 0.90 да 0.80 даляра, што ўсё яшчэ прыкладна на 10% - 20% ніжэй за жаданую прывязку.
Acala апублікаваў абноўленую інфармацыю аб сітуацыі ў панядзелак раніцай, пацвердзіўшы кошт адчаканеных USD у 1.288 мільярда долараў. Твіт уключаў а паведамленне на форуме з падрабязным апісаннем «вынікаў трасіроўкі».
Справаздача пра адсочванне інцыдэнту №1: гэта першая апублікаваная серыя вынікаў адсочвання. 1 млрд памылкова адчаканеных USD былі ідэнтыфікаваны, і іх пераводы адключаны, пакуль рашэнне аб кіраванні супольнасцю Acala не вырашыць гэтую памылку.
Тэма ніжэй:https://t.co/KazsYLxzqK
— Акала (@AcalaNetwork) Жнівень 15, 2022
Каманда Acala пацвердзіла, што цяпер гэтая інфармацыя можа быць выкарыстана для «праверкі даных у ланцужку і сфармулявання прапаноў па вырашэнні памылкі манетнага двара USD».
Канкрэтная прычына здарэння пазначана ў паведамленні на форуме.
“2022-08-13 22:41 UTC – Пул iBTC/aUSD быў уведзены ў дзеянне з няправільнай канфігурацыяй і памылковым запускам манетнага двара».
«Няправільная канфігурацыя» прывяла да таго, што aUST быў памылкова адчаканены, і сродкі былі адпраўлены некалькім пастаўшчыкам LP для пула. У цяперашні час гэтыя сродкі фактычна замарожаныя, як пацвердзіў Акала:
«Памяняныя лічбавыя актывы, якія застаюцца ў парачэйне Acala, з тых часоў былі адключаны ў чаканні рашэння аб калектыўным кіраванні супольнасці Acala аб вырашэнні памылкі чаканкі».
З моманту выхаду абнаўлення "рэферэндум" прапанова быў прадстаўлены. The прапанова не мае галасоў "супраць" на момант публікацыі - імкнецца "эфектыўна спаліць" памылковы aUSD, вярнуўшы яго ў пратакол Honzon.
Прапанова ўключае код, неабходны для перамяшчэння сродкаў на адрас псеўдазапісу, і пералічвае ўсе адрасы, прысутныя ў высновах Acala.
Крыніца: https://cryptoslate.com/acala-submits-governance-proposal-to-burn-1-28b-ausd-following-investigation-of-exploit/