Sa loob ng $3B DeFi Exploit ng Crypto Platform ng Acala

Nang salakayin ang desentralisadong-finance platform na Acala noong Sabado, na nagpapahintulot sa mga salarin na gumawa ng kung ano ang teknikal na $3 bilyong halaga nito. aUSD stablecoins, isang natural na tanong na itatanong ay: T ba na-audit ng Acala ang kanilang code?

Oo, tiyak na ginawa ng protocol na nakabatay sa Polkadot. Ngunit ang pagsasamantala ay nagsasangkot ng maling pagsasaayos sa ONE sa Acala mga pool ng pagkatubig – ang backbone ng decentralized exchanges (DEXes), kung saan ang mga cryptocurrencies ay pinapalitan ayon sa isang math equation sa halip na isang conventional order book – na nagmula sa isa pang proyekto, ang Honzon protocol. At nagbigay-daan iyon sa 3.02 bilyong bagong aUSD na stablecoin na malikha, na nagpababa ng kanilang presyo nang husto mula sa kanilang nilalayong $1 bawat isa.

"T kami nagsagawa ng kumpletong pagsusuri ng protocol ng Honzon. Sinabi namin noong panahong iyon na ang mga karagdagang pagsusuri ay kinakailangan upang ganap na maimbestigahan ang mga isyung natukoy namin," sabi ni Nick Selby, vice president ng software assurance practice sa Trail of Bits, sa isang panayam sa CoinDesk. Ang kumpanyang iyon ay ONE sa ilang kumpanyang nag-audit sa mga matalinong kontrata ng Acala noong nakaraang taon.

Sa isang pahayag sa CoinDesk, ipinaliwanag ni Bryan Chen, co-founder at CTO ng Acala, na maraming pag-audit ang isinagawa sa ilang nangungunang audit firm maliban sa Trail of Bits. Ang ONE sa nasabing kumpanya ay ang Security Research Labs (SRLabs), isang kumpanya ng cybersecurity consultancy at research.

"Lahat ng code na kasama sa aUSD error mints ay mature code na ilang beses nang na-audit at nasubok din sa labanan sa Karura, ang aming canary network sa Kusama," sabi ni Chen. (Ang Kusama ay isang eksperimental na kapaligiran sa pag-unlad para sa mga proyektong nauugnay sa Polkadot.)

Si Bette Chen, co-founder at CEO ng Acala, ay nagdagdag din ng ilang kalinawan sa sitwasyon sa pamamagitan ng pagbibigay-diin na ang mga pag-audit ay T nakakakita ng mga maling pagsasaayos ng parameter.

"Ang pagsasaayos ng parameter ay hindi bahagi ng isang pagbabago ng code. Halimbawa, kapag binago ang ratio ng pagpuksa, walang kinakailangang bagong pag-audit; ang isang boto sa pamamahala ay maaaring mag-update ng mga parameter. Ang code mismo, gayunpaman, ay dapat na pumigil sa maling pagsasaayos, na hindi nakuha ng panloob at panlabas na mga pag-audit, "sabi niya sa isang pahayag sa CoinDesk.

Sa madaling salita, dapat ay nakuha ng protocol code ang error sa configuration ng parameter – ngunit T ito nangyari.

Read More: Sa Crypto, T Sapat ang Seguridad ng Base Layer

Humigit-kumulang 2.97 bilyon sa maling pagkakagawa ng 3.02 bilyong aUSD ang kasunod na nabawi, at humigit-kumulang 1.29 bilyong aUSD ang nasunog pagkatapos ng isang kagyat na boto sa pamamahala. Ang komunidad ng Acala ay bumoto din na sunugin ang natitirang 1.68 bilyong aUSD sa susunod na boto. Narito kung paano nalutas ang lahat.

iBTC/aUSD liquidity pool

Interlay, isang desentralisadong stablecoin network, kamakailan ay inilunsad ang InterBTC (iBTC) - isang Wrapped Bitcoin token. Ang mga nakabalot na token ay mga synthetic (o tokenized) na bersyon ng mga Crypto asset na hindi native sa mga blockchain kung saan sila umiiral. Nag-debut ang mga token ng iBTC na ito sa dalawang platform ng Polkadot DeFi: Acala at Moonbeam.

Read More: Ano ang Liquidity Pools?

Noong Agosto 4, Acala inihayag isang iBTC/aUSD liquidity pool. Nakatakdang ilunsad ang pool noong Agosto 13. Hinikayat ang mga miyembro ng komunidad ng Acala na mag-ambag ng iBTC at aUSD sa pool upang maitaguyod ang pagkatubig. Ang mga tagapagbigay ng pagkatubig na ito ay gagantimpalaan ng interlay (INTR) at acala (ACA) mga token.

Pag-atake ng 'error mints'

Ang iBTC/aUSD liquidity pool ay inilunsad ayon sa iskedyul noong Agosto 13. Di-nagtagal, ang mga error na mint ay sinimulan. Ang pangunahing dahilan ay isang maling configuration ng protocol na namamahagi ng mga reward sa isangUSD sa halip na INTR at ACA.

Sa loob ng ilang minuto, kinuha ng isang taga-ambag ng Acala ang aktibidad at inabisuhan ang komunidad. Di-nagtagal pagkatapos noon, nagsagawa ng boto sa pamamahala ang komunidad ng Acala na nagpapahintulot sa paghinto Pagpalitin ng Acala, ang DEX protocol ng Acala.

Ang karagdagang pagsisiyasat ay nagsiwalat ng maling pagsasaayos ng protocol ng Honzon bilang pangunahing sanhi ng mga pagkakamali. Ang mga kasunod na boto ay isinagawa na nagresulta sa isang kasunduan na ihinto ang Honzon at sa huli ay ituwid ang sitwasyon.

Bilang stablecoin, ang aUSD ay karaniwang nakikipagkalakalan sa tinatayang 1:1 ratio sa U.S. dollar. Ang halaga ng aUSD ay bumaba mula sa humigit-kumulang $1.03 hanggang $0.009 pagkatapos ng pag-atake.

Read More: Bumagsak ang Stablecoin ng DeFi Platform Acala ng 99% Pagkatapos Mag-isyu ng 1.3B Token ng mga Hacker

Pagsubaybay sa mga salarin

Noong Agosto 15, nagkaroon si Acala nasubaybayan ang lahat ng mga transaksyong nauugnay sa error hanggang 16 na wallet. Ang kabuuang halaga ng aUSD sa mga wallet na ito ay tinatayang sa simula ay humigit-kumulang 1.29 bilyon. May karagdagang 4.3 milyon ang nanatiling hindi na-claim sa iBTC/aUSD reward pool.

Pagkalipas ng dalawang araw, noong Agosto 17, nagsagawa ang komunidad ng Acala ng pangalawang pagsusuri sa pagsubaybay sa transaksyon. Natuklasan nila na ang kabuuang 3.022 bilyong aUSD (at hindi 1.29 bilyon gaya ng orihinal na tinantiya) ay maling ginawa at na-claim (bilang reward money) ng mga provider ng liquidity. Sa kabutihang palad, ang karagdagang 1.68 bilyong aUSD ay nakuhang muli, na nagdala ng kabuuang na-recover na mga pondo sa 2.97 bilyon mula sa kabuuang 3.02 bilyon.

Ang komunidad ay nagpasa ng isang referendum upang sunugin ang 1.29 bilyong aUSD na nabawi noong Agosto 15. Ito ay bahagyang naibalik ang peg ng token, na kasalukuyang nasa humigit-kumulang $0.80. Isa pang boto sa pamamahala ang naganap noong Agosto 20 upang sunugin ang natitirang 1.68 bilyong aUSD.

Matapos ang pagsasamantala ng Acala

Malinaw na tinukoy ng Acala ang protocol ng liquidity pool ng aUSD Honzon bilang pinagmulan ng kahinaan sa paggawa. Ang asset na ipinares sa aUSD sa loob ng pool na pinag-uusapan, ang iBTC, ay hindi naapektuhan, ni ang code nito ay bahagi ng problema. Inilayo ng Interlay (tagalikha ng iBTC) ang sarili mula sa debacle.

"May ONE mahalagang bagay na dapat ituwid - ito ay hindi isang iBTC hack ... Ang Interlay/iBTC ay hindi nakompromiso. Ang insidente ay hindi nagdudulot ng panganib sa Interlay bilang isang network, o ang iBTC bilang isang produkto, sa anumang paraan. Ang lahat ng mga operasyon ng system ay naging ganap at nananatiling ganap na gumagana," Alexei Zamyatin, co-founder at CEO ng Interlay, sinabi sa isang panayam sa CoinDesk .

Ang buong lawak ng mga error mints ni Acala ay iniimbestigahan pa rin. Sa isang pahayag, Bette Chen sinabi:

"Kami ay patuloy na nakikipagtulungan sa aming mga kasosyo at Contributors upang masubaybayan ang aUSD na maling ginawa ng 16 na address ng wallet. Ang mga resulta ay patuloy na mai-publish sa isang malinaw na paraan, at ang komunidad ay maaaring magpatuloy na sama-samang bumuo ng mga panukala upang malutas ang maling ginawang aUSD. Lubos naming pinahahalagahan ang pasensya at suporta ng lahat."

I-UPDATE (Ago. 23, 9:58 UTC): Iwasto ang spelling sa Moonbeam sa ika-10 talata.

I-UPDATE (Ago. 23, 13:55 UTC): Nagdaragdag ng boto ng komunidad na isinagawa sa katapusan ng linggo sa ika-9 na talata.