Dentro del exploit DeFi de $3 mil millones de la plataforma Cripto Acala

Cuando la plataforma de finanzas descentralizadas Acala fue atacada el sábado, lo que permitió a los perpetradores acuñar lo que técnicamente valía $3 mil millones de susaUSD stablecoins, una pregunta natural fue: ¿Acala no auditó su código?

Sí, el protocolo basado en Polkadot ciertamente lo hizo. Pero el exploit implicó una configuración incorrecta en ONE de los... fondos de liquidezLa columna vertebral de los exchanges descentralizados (DEX), donde las criptomonedas se intercambian según una ecuación matemática en lugar de un libro de órdenes convencional, se originó en un proyecto completamente diferente: el protocolo Honzon. Esto permitió la creación de 3.020 millones de nuevas stablecoins de aUSD, lo que redujo drásticamente su precio desde su valor previsto de $1 cada una.

“No realizamos una revisión exhaustiva del protocolo Honzon. En ese momento, declaramos que se requerían revisiones adicionales para investigar a fondo los problemas que identificamos”, declaró Nick Selby, vicepresidente de la práctica de aseguramiento de software de Trail of Bits, en una entrevista con CoinDesk. Esta empresa fue una de las varias que auditaron los contratos inteligentes de Acala el año pasado.

En una declaración a CoinDesk, Bryan Chen, cofundador y director de tecnología de Acala, explicó que se realizaron múltiples auditorías con varias firmas de auditoría de primer nivel, además de Trail of Bits. Una de ellas fue Security Research Labs (SRLabs), una consultora e investigadora de ciberseguridad.

"Todo el código involucrado en los errores de acuñación de aUSD era código maduro, auditado varias veces y probado en Karura, nuestra red canaria en Kusama", afirmó Chen. (Kusama es un entorno de desarrollo experimental para proyectos relacionados con Polkadot).

Bette Chen, cofundadora y CEO de Acala, también agregó algo de claridad a la situación al enfatizar que las auditorías no detectan configuraciones incorrectas de parámetros.

La configuración de un parámetro no forma parte de un cambio de código. Por ejemplo, cuando se modifica la tasa de liquidación, no se requiere una nueva auditoría; una votación de gobernanza puede actualizar los parámetros. Sin embargo, el código en sí debería haber evitado la configuración incorrecta, que no es detectada por las auditorías internas y externas, declaró a CoinDesk.

En otras palabras, el código del protocolo debería haber detectado el error en la configuración de los parámetros, pero no lo hizo.

Sigue leyendo: En Cripto, la seguridad de la capa base no es suficiente

Aproximadamente 2.970 millones de los 3.020 millones de aUSD acuñados erróneamente se recuperaron posteriormente, y aproximadamente 1.290 millones de aUSD se quemaron tras una votación urgente de gobernanza. La comunidad de Acala también votó por quemar los 1.680 millones de aUSD restantes en una votación posterior. Así es como se desarrolló todo.

Fondo de liquidez iBTC/aUSD

Entrelazado, una red descentralizada de monedas estables, lanzó recientemente InterBTC (iBTC), un token de Wrapped Bitcoin . Los tokens encapsulados son versiones sintéticas (o tokenizadas) de Cripto que no son nativos de las cadenas de bloques en las que existen. Estos tokens iBTC debutaron en dos plataformas DeFi de Polkadot : Acala y Moonbeam.

Sigue leyendo: ¿Qué son los pools de liquidez?

El 4 de agosto, AcalaanunciadoUn fondo de liquidez iBTC/aUSD. El fondo estaba previsto para su lanzamiento alrededor del 13 de agosto. Se animó a los miembros de la comunidad de Acala a contribuir con iBTC y aUSD al fondo para generar liquidez. Estos proveedores de liquidez serían posteriormente recompensados con interlay (INTRODUCCIÓN) y acala (Ley de Cuidado de Salud a Bajo Precio) fichas.

El ataque de las ‘mentas de error’

El fondo de liquidez iBTC/aUSD se lanzó según lo previsto el 13 de agosto. Poco después, se iniciaron las acuñaciones erróneas. La causa principal fue una configuración incorrecta del protocolo que distribuyó las recompensas en aUSD en lugar de INTR y ACA.

En cuestión de minutos, un colaborador de Acala se percató de la actividad y notificó a la comunidad. Poco después, la comunidad de Acala celebró una votación de gobernanza que autorizó la suspensión.Intercambio de AcalaProtocolo DEX de Acala.

Una investigación posterior reveló que la configuración incorrecta del protocolo Honzon era la causa principal de los errores de acuñación. Se llevaron a cabo votaciones posteriores que resultaron en un acuerdo para pausar Honzon y, finalmente, rectificar la situación.

Como moneda estable, aUSD suele cotizar aproximadamente 1:1 con el dólar estadounidense. Su valor cayó de aproximadamente $1,03 a $0,009 tras el ataque.

Sigue leyendo: La stablecoin de Acala, la plataforma DeFi, cae un 99% tras la emisión de 1.300 millones de tokens por parte de hackers.

Rastreando a los culpables

Para el 15 de agosto, Acala habíaSe rastrearon todas las transacciones relacionadas con errores de Mint.A 16 billeteras. El monto total de aUSD en estas billeteras se estimó inicialmente en alrededor de 1290 millones. Otros 4,3 millones permanecieron sin reclamar en el fondo de recompensas iBTC/aUSD.

Dos días después, el 17 de agosto, la comunidad de Acala realizó un segundo análisis de rastreo de transacciones. Descubrieron que un total de 3.022 millones de aUSD (y no 1.290 millones como se estimó originalmente) habían sido acuñados erróneamente y reclamados (como recompensa) por los proveedores de liquidez. Afortunadamente, también se recuperaron 1.680 millones de aUSD adicionales, lo que elevó el total de fondos recuperados a 2.970 millones de un total de 3.020 millones.

La comunidad aprobó un referéndum el 15 de agosto para quemar los 1.290 millones de aUSD recuperados. Esto restableció parcialmente la paridad del token, que actualmente se sitúa en torno a los 0,80 dólares. El 20 de agosto se llevó a cabo otra votación de gobernanza para quemar los 1.680 millones de aUSD restantes.

Después de la hazaña de Acala

Acala ha identificado claramente el protocolo del fondo de liquidez aUSD Honzon como la fuente de la vulnerabilidad de acuñación. El activo emparejado con aUSD dentro del fondo en cuestión, iBTC, no se vio afectado, ni su código formó parte del problema. Interlay (creador de iBTC) se ha distanciado del problema.

Hay ONE importante que aclarar: no fue un ataque a iBTC… Interlay/iBTC no se han visto comprometidos. El incidente no ha puesto en peligro a Interlay como red ni a iBTC como producto. Todas las operaciones del sistema han estado y siguen funcionando a pleno rendimiento. Alexei Zamiatin, cofundador y CEO de Interlay, dijo en una entrevista con CoinDesk .

Aún se investiga el alcance total de los errores de acuñación de Acala. En un comunicado,Bette Chen dicho:

Seguimos trabajando con nuestros socios y Colaboradores para rastrear los aUSD emitidos erróneamente por 16 direcciones de billetera. Los resultados se seguirán publicando de forma transparente, y la comunidad podrá seguir formulando propuestas colectivamente para resolver el problema de los aUSD emitidos erróneamente. Agradecemos enormemente la paciencia y el apoyo de todos.

ACTUALIZACIÓN (23 de agosto, 9:58 UTC):Corrige la ortografía de Moonbeam en el décimo párrafo.

ACTUALIZACIÓN (23 de agosto, 13:55 UTC):Agrega una votación comunitaria realizada durante el fin de semana en el noveno párrafo.