Au cœur de l'exploitation DeFi de 3 milliards de dollars de la plateforme Crypto d'Acala

Lorsque la plateforme de finance décentralisée Acala a été attaquée samedi, permettant aux auteurs de frapper ce qui était techniquement d'une valeur de 3 milliards de dollarsaUSD stablecoins, une question naturelle à poser était : Acala n'a T audité leur code ?

Oui, le protocole basé sur Polkadot l'a certainement fait. Mais l'exploit impliquait une mauvaise configuration dans ONEun des composants d'Acala. pools de liquidité– l'épine dorsale des plateformes d'échange décentralisées (DEX), où les cryptomonnaies sont échangées selon une équation mathématique plutôt que selon un carnet d'ordres classique – qui proviennent d'un tout autre projet, le protocole Honzon. Ce dernier a permis la création de 3,02 milliards de nouveaux stablecoins aUSD, ce qui a entraîné une chute spectaculaire de leur prix initial de 1 dollar chacun.

« Nous n'avons T procédé à un examen exhaustif du protocole Honzon. Nous avions alors indiqué que des examens supplémentaires étaient nécessaires pour examiner en profondeur les problèmes identifiés », a déclaré Nick Selby, vice-président du département d'assurance logicielle chez Trail of Bits, lors d'un entretien avec CoinDesk. Cette société faisait ONE des nombreuses entreprises ayant audité les contrats intelligents d'Acala l'année dernière.

Dans une déclaration à CoinDesk, Bryan Chen, cofondateur et directeur technique d'Acala, a expliqué que plusieurs audits avaient été réalisés auprès de plusieurs cabinets d'audit de renom autres que Trail of Bits. ONE ces cabinets, on compte Security Research Labs (SRLabs), un cabinet de conseil et de recherche en cybersécurité.

« L'ensemble du code impliqué dans les erreurs aUSD était du code mature, audité à plusieurs reprises et testé sur Karura, notre réseau canari sur Kusama», a déclaré Chen. (Kusama est un environnement de développement expérimental pour les projets liés à Polkadot.)

Bette Chen, cofondatrice et PDG d'Acala, a également apporté quelques éclaircissements sur la situation en soulignant que les audits ne détectent T les erreurs de configuration des paramètres.

« La configuration des paramètres ne fait pas partie d'une modification de code. Par exemple, lorsque le ratio de liquidation est modifié, aucun nouvel audit n'est requis ; un vote de gouvernance peut mettre à jour les paramètres. Le code lui-même aurait cependant dû empêcher cette mauvaise configuration, qui n'est pas détectée par les audits internes et externes », a-t-elle déclaré à CoinDesk.

En d’autres termes, le code du protocole aurait dû détecter l’erreur dans la configuration des paramètres – mais il ne l’a T.

Sur le même sujet : En Crypto, la sécurité de la couche de base ne suffit T

Environ 2,97 milliards des 3,02 milliards d'aUSD frappés par erreur ont été récupérés, et environ 1,29 milliard d'aUSD ont été brûlés après un vote urgent de la gouvernance. La communauté Acala a également voté pour brûler les 1,68 milliard d'aUSD restants lors d'un vote ultérieur. Voici comment tout cela s'est déroulé.

Pool de liquidité iBTC/aUSD

Intercalaire, un réseau décentralisé de stablecoins, a récemment lancé InterBTC (iBTC), un jeton Wrapped Bitcoin . Les jetons wrappés sont des versions synthétiques (ou tokenisées) de Crypto non natives des blockchains sur lesquelles ils existent. Ces jetons iBTC ont été lancés sur deux plateformes DeFi Polkadot : Acala et Moonbeam.

Sur le même sujet : Que sont les pools de liquidité ?

Le 4 août, AcalaannoncéUn pool de liquidités iBTC/aUSD. Son lancement était prévu aux alentours du 13 août. Les membres de la communauté Acala étaient encouragés à y contribuer en iBTC et aUSD afin d'assurer la liquidité. Ces fournisseurs de liquidités seraient ensuite récompensés par des interlays (INTR) et acala (ACA) jetons.

L'attaque des « monnaies erronées »

Le pool de liquidité iBTC/aUSD a été lancé comme prévu, le 13 août. Peu après, des opérations de minage d'erreurs ont été lancées. La cause principale était une mauvaise configuration du protocole, qui distribuait les récompenses en aUSD au lieu d'INTR et d'ACA.

En quelques minutes, un contributeur d'Acala a détecté l'activité et en a informé la communauté. Peu après, la communauté Acala a organisé un vote de gouvernance autorisant l'arrêt du projet.Échange d'AcalaProtocole DEX d’Acala.

Une enquête plus approfondie a révélé que la mauvaise configuration du protocole Honzon était à l'origine des erreurs de mints. Des votes ultérieurs ont abouti à un accord pour suspendre Honzon et, in fine, rectifier la situation.

En tant que stablecoin, l'aUSD se négocie généralement à un ratio d'environ 1:1 avec le dollar américain. Sa valeur est passée d'environ 1,03 $ à 0,009 $ après l'attaque.

Sur le même sujet : Le stablecoin Acala, plateforme DeFi, chute de 99 % après l'émission de 1,3 milliard de jetons par des pirates informatiques.

À la recherche des coupables

Le 15 août, Acala avaittracé toutes les transactions erronées liées à la monnaiejusqu'à 16 portefeuilles. Le montant total d'aUSD dans ces portefeuilles était initialement estimé à environ 1,29 milliard. 4,3 millions supplémentaires n'ont pas été réclamés dans la cagnotte iBTC/aUSD.

Deux jours plus tard, le 17 août, la communauté Acala a procédé à une deuxième analyse de traçage des transactions. Elle a découvert qu'un total de 3,022 milliards d'aUSD (et non 1,29 milliard comme initialement estimé) avait été émis et réclamé par erreur (comme récompense) par les fournisseurs de liquidités. Heureusement, 1,68 milliard d'aUSD supplémentaires ont également été récupérés, portant le total des fonds récupérés à 2,97 milliards sur un total de 3,02 milliards.

La communauté a voté par référendum le 15 août pour détruire les 1,29 milliard d'aUSD récupérés. Cela a partiellement rétabli le cours du jeton, qui se situe actuellement autour de 0,80 $. Un autre vote de gouvernance a eu lieu le 20 août pour détruire les 1,68 milliard d'aUSD restants.

Après l'exploit d'Acala

Acala a clairement identifié le protocole du pool de liquidités aUSD Honzon comme étant à l'origine de la vulnérabilité de minage. L'actif associé à l'aUSD au sein du pool en question, l'iBTC, n'a pas été affecté, et son code n'a pas non plus été impliqué dans le problème. Interlay (créateur de l'iBTC) a pris ses distances avec cette débâcle.

Il est important de préciser une chose : il ne s'agissait pas d'un piratage d'iBTC… Interlay et iBTC n'ont pas été compromis. L'incident n'a en aucun cas compromis le réseau Interlay, ni le produit iBTC. Toutes les opérations du système ont été et restent pleinement opérationnelles. Alexeï Zamiatine, co-fondateur et PDG d'Interlay, a déclaré dans une interview à CoinDesk .

L'ampleur des erreurs commises par Acala fait toujours l'objet d'une enquête. Dans un communiqué,Bette Chen dit:

Nous continuons de collaborer avec nos partenaires et La rédaction pour retrouver les aUSD émis par erreur par 16 adresses de portefeuille. Les résultats continueront d'être publiés en toute transparence, et la communauté pourra continuer à formuler collectivement des propositions pour résoudre le problème des aUSD émis par erreur. Nous apprécions grandement la patience et le soutien de chacun.

MISE À JOUR (23 août, 9h58 UTC) :Corrige l'orthographe de Moonbeam dans le 10e paragraphe.

MISE À JOUR (23 août, 13h55 UTC) :Ajoute un vote communautaire mené au cours du week-end dans le 9e paragraphe.