All'interno dell'Exploit DeFi da 3 miliardi di dollari della piattaforma Cripto di Acala

Quando la piattaforma di finanza decentralizzata Acala è stata attaccata sabato, consentendo ai colpevoli di coniare ciò che tecnicamente valeva 3 miliardi di dollariun dollaro statunitense stablecoin, la domanda naturale da porsi è: Acala T ha verificato il loro codice?

Sì, il protocollo basato su Polkadot lo ha sicuramente fatto. Ma l'exploit ha coinvolto una configurazione errata in ONE degli pool di liquidità– la spina dorsale degli exchange decentralizzati (DEX), dove le criptovalute vengono scambiate in base a un'equazione matematica anziché a un libro degli ordini convenzionale – che ha origine da un altro progetto completamente diverso, il protocollo Honzon. E ciò ha permesso la creazione di 3,02 miliardi di nuove stablecoin aUSD, che hanno fatto scendere drasticamente il loro prezzo rispetto al loro $1 previsto ciascuna.

"T abbiamo eseguito una revisione esaustiva del protocollo Honzon. All'epoca avevamo dichiarato che erano necessarie revisioni aggiuntive per indagare a fondo sui problemi da noi identificati", ha affermato Nick Selby, vicepresidente della software assurance practice di Trail of Bits, in un'intervista con CoinDesk. Quella società è stata ONE delle numerose aziende che hanno verificato gli smart contract di Acala l'anno scorso.

In una dichiarazione a CoinDesk, Bryan Chen, co-fondatore e CTO di Acala, ha spiegato che sono stati eseguiti più audit con diverse importanti società di audit oltre a Trail of Bits. ONE di queste società era Security Research Labs (SRLabs), una società di consulenza e ricerca sulla sicurezza informatica.

"Tutto il codice coinvolto nelle coniazioni di errore aUSD era codice maturo che era stato verificato più volte e anche testato in battaglia su Karura, la nostra rete canary su Kusama", ha affermato Chen. (Kusama è un ambiente di sviluppo sperimentale per progetti correlati a Polkadot.)

Anche Bette Chen, co-fondatrice e CEO di Acala, ha chiarito la situazione sottolineando che gli audit T rilevano configurazioni errate dei parametri.

"Una configurazione dei parametri non fa parte di una modifica del codice. Ad esempio, quando viene modificato il rapporto di liquidazione, non è richiesto alcun nuovo audit; un voto di governance può aggiornare i parametri. Il codice stesso, tuttavia, avrebbe dovuto impedire la configurazione errata, che non viene rilevata da audit interni ed esterni", ha affermato in una dichiarazione a CoinDesk.

In altre parole, il codice del protocollo avrebbe dovuto rilevare l'errore nella configurazione dei parametri, ma non l'ha T.

Continua a leggere: In Cripto, la sicurezza di base T è sufficiente

Circa 2,97 miliardi dei 3,02 miliardi di aUSD erroneamente coniati sono stati successivamente recuperati e circa 1,29 miliardi di aUSD sono stati bruciati dopo un urgente voto di governance. La comunità di Acala ha anche votato per bruciare i restanti 1,68 miliardi di aUSD in un voto successivo. Ecco come si è svolto tutto.

Pool di liquidità iBTC/aUSD

Interposizione, una rete decentralizzata di stablecoin, ha recentemente lanciato InterBTC (iBTC), un token Wrapped Bitcoin . I token avvolti sono versioni sintetiche (o tokenizzate) di Cripto che non sono native delle blockchain su cui esistono. Questi token iBTC hanno debuttato su due piattaforme Polkadot DeFi: Acala e Moonbeam.

Continua a leggere: Cosa sono i pool di liquidità?

Il 4 agosto, Acalaannunciatoun pool di liquidità iBTC/aUSD. Il lancio del pool era previsto per il 13 agosto. I membri della comunità Acala sono stati incoraggiati a contribuire con iBTC e aUSD al pool per creare liquidità. Questi fornitori di liquidità sarebbero stati successivamente ricompensati con interlay (INTRATTENIMENTO) e acala (ACA) gettoni.

L'attacco delle "mentine degli errori"

Il pool di liquidità iBTC/aUSD è stato lanciato nei tempi previsti il 13 agosto. Poco dopo, sono state avviate le mint di errore. La causa principale era una configurazione errata del protocollo che distribuiva le ricompense in aUSD invece che in INTR e ACA.

Nel giro di pochi minuti, un collaboratore di Acala ha notato l'attività e ha informato la comunità. Poco dopo, la comunità di Acala ha tenuto una votazione di governance che ha autorizzato l'interruzioneScambio di Acala, protocollo DEX di Acala.

Ulteriori indagini hanno rivelato che la configurazione errata del protocollo Honzon era la causa principale delle mentine di errore. Sono state effettuate votazioni successive che hanno portato a un accordo per mettere in pausa Honzon e infine rettificare la situazione.

Come stablecoin, aUSD viene solitamente scambiato a un rapporto approssimativo di 1:1 con il dollaro statunitense. Il valore di aUSD è sceso da circa $ 1,03 a $ 0,009 dopo l'attacco.

Continua a leggere: La stablecoin della piattaforma DeFi Acala crolla del 99% dopo che gli hacker hanno emesso 1,3 miliardi di token

Sulle tracce dei colpevoli

Entro il 15 agosto, Acala avevatracciati tutti gli errori relativi alle transazioni coniatea 16 wallet. L'importo totale di aUSD in questi wallet era inizialmente stimato in circa 1,29 miliardi. Altri 4,3 milioni sono rimasti non reclamati nel pool di ricompensa iBTC/aUSD.

Due giorni dopo, il 17 agosto, la comunità Acala ha condotto una seconda analisi di tracciamento delle transazioni. Hanno scoperto che un totale di 3,022 miliardi di aUSD (e non 1,29 miliardi come stimato in origine) era stato erroneamente coniato e reclamato (come denaro di ricompensa) dai fornitori di liquidità. Fortunatamente, sono stati recuperati anche altri 1,68 miliardi di aUSD, portando il totale dei fondi recuperati a 2,97 miliardi sui 3,02 miliardi totali.

La comunità ha approvato un referendum per bruciare i 1,29 miliardi di aUSD recuperati il 15 agosto. Ciò ha ripristinato parzialmente il peg del token, che attualmente si attesta a circa $ 0,80. Un altro voto di governance ha avuto luogo il 20 agosto per bruciare i restanti 1,68 miliardi di aUSD.

Dopo l'impresa di Acala

Acala ha chiaramente identificato il protocollo del pool di liquidità aUSD Honzon come fonte della vulnerabilità di conio. L'asset abbinato ad aUSD nel pool in questione, iBTC, non è stato interessato, né il suo codice è stato parte del problema. Interlay (creatore di iBTC) ha preso le distanze dal fiasco.

"C'è ONE cosa importante da chiarire: non è stato un hack di iBTC... Interlay/iBTC non sono stati compromessi. L'incidente non ha messo a repentaglio Interlay come rete, né iBTC come prodotto, in alcun modo. Tutte le operazioni di sistema sono state e rimangono pienamente funzionali", Aleksej Zamjatin, ha raccontato il co-fondatore e CEO di Interlay in un'intervista a CoinDesk .

La portata completa delle zecche di errore di Acala è ancora oggetto di indagine. In una dichiarazione,Bette Chen disse:

"Continuiamo a lavorare con i nostri partner e Collaboratori per tracciare gli aUSD coniati erroneamente da 16 indirizzi wallet. I risultati continueranno a essere pubblicati in modo trasparente e la comunità potrà continuare a formulare collettivamente proposte per risolvere gli aUSD coniati erroneamente. Apprezziamo molto la pazienza e il supporto di tutti."

AGGIORNAMENTO (23 agosto, 9:58 UTC):Corregge l'ortografia di Moonbeam nel decimo paragrafo.

AGGIORNAMENTO (23 agosto, 13:55 UTC):Aggiunge una votazione della comunità condotta nel fine settimana nel nono paragrafo.