Всередині DeFi-експлойту Крипто Acala вартістю 3 мільярди доларів США

Коли в суботу на платформу децентралізованого фінансування Acala було здійснено атаку, що дозволило зловмисникам викарбувати її технічно на 3 мільярди доларів aUSD стейблкоїни, виникло природне запитання: чи T Acala перевіряла свій код?

Так, протокол на основі Polkadot, безумовно, це зробив. Але експлойт спричинив неправильну конфігурацію в ONE з Acala пули ліквідності – основа децентралізованих бірж (DEX), де криптовалюти міняються відповідно до математичних рівнянь замість звичайної книги замовлень – які походять з іншого проекту, протоколу Honzon. І це дозволило створити 3,02 мільярда нових стейблкойнів aUSD, що різко знизило їх ціну з запланованого 1 долара за кожен.

"Ми T проводили вичерпної перевірки протоколу Honzon. Тоді ми заявили, що необхідні додаткові перевірки для повного дослідження проблем, які ми виявили", - сказав Нік Селбі, віце-президент практики забезпечення програмного забезпечення в Trail of Bits, в інтерв'ю CoinDesk. Ця компанія була ONE з кількох фірм, які минулого року перевіряли розумні контракти Acala.

У заяві для CoinDesk Брайан Чен, співзасновник і технічний директор Acala, пояснив, що численні аудити були проведені кількома провідними аудиторськими фірмами, крім Trail of Bits. ONE з таких фірм була Security Research Labs (SRLabs), консалтингова та дослідницька компанія з кібербезпеки.

«Увесь код, задіяний у монетних дворах aUSD, був зрілим кодом, який кілька разів перевірявся, а також випробувався в бойових діях на Karura, нашій канарковій мережі на Kusama», — сказав Чень. (Kusama — це експериментальне середовище розробки для проектів, пов’язаних із Polkadot.)

Бетт Чен, співзасновник і генеральний директор Acala, також додала трохи ясності в ситуацію, підкресливши, що аудити T виявляють неправильних налаштувань параметрів.

«Конфігурація параметрів не є частиною зміни коду. Наприклад, коли змінюється коефіцієнт ліквідації, новий аудит не потрібний; голосування керівного складу може оновити параметри. Однак сам код повинен був запобігти неправильній конфігурації, яку не виявляють внутрішні та зовнішні аудити», — сказала вона в заяві CoinDesk.

Іншими словами, код протоколу мав би виявити помилку в конфігурації параметрів, але цього T сталося.

Читайте також: У Крипто безпеки базового рівня T

Близько 2,97 мільярда з помилково викарбуваних 3,02 мільярда доларів США було згодом відновлено, а приблизно 1,29 мільярда доларів США було спалено після термінового голосування про управління. Пізніше спільнота Acala також проголосувала за спалення решти 1,68 мільярда доларів США. Ось як все розгадалося.

Пул ліквідності iBTC/aUSD

Прокладка, децентралізована мережа стейблкойнів, нещодавно запустила InterBTC (iBTC) – Wrapped Bitcoin токен. Огорнуті токени — це синтетичні (або токенізовані) версії Крипто , які не є рідними для блокчейнів, у яких вони існують. Ці токени iBTC дебютували на двох платформах Polkadot DeFi: Acala та Moonbeam.

Читайте також: Що таке пули ліквідності?

4 серпня Acala оголосив пул ліквідності iBTC/aUSD. Пул планувалося запустити приблизно 13 серпня. Членів спільноти Acala заохочували вносити iBTC і aUSD до пулу, щоб забезпечити ліквідність. Ці постачальники ліквідності згодом будуть винагороджені проміжним періодом (ВНУТР) і acala (ACA) жетони.

Атака «монетних дворів помилок»

Пул ліквідності iBTC/aUSD було запущено за розкладом 13 серпня. Невдовзі після цього було ініційовано монетні двори про помилки. Основною причиною була неправильна конфігурація протоколу, яка розподіляла винагороди в USD замість INTR і ACA.

За кілька хвилин співавтор Acala помітив цю діяльність і повідомив спільноту. Невдовзі після цього спільнота Acala провела голосування про управління, яке дозволило зупинити роботу Acala Swap, протокол Acala DEX.

Подальше розслідування виявило неправильну конфігурацію протоколу Honzon як основну причину помилок. Наступні голосування були проведені, в результаті чого було досягнуто згоди призупинити Хонзона та остаточно виправити ситуацію.

Як стейблкоїн, aUSD зазвичай торгується приблизно в співвідношенні 1:1 до долара США. Після атаки вартість aUSD впала приблизно з 1,03 до 0,009 долара.

Читайте також: Стайблкойн платформи DeFi Acala впав на 99% після того, як хакери випустили 1,3 млрд токенів

Розшук винних

До 15 серпня Acala мав відстежено всі помилкові транзакції, пов’язані з монетним двором до 16 гаманців. Загальна сума USD у цих гаманцях спочатку оцінювалася приблизно в 1,29 мільярда. Ще 4,3 мільйона залишилися незатребуваними в пулі винагород iBTC/aUSD.

Через два дні, 17 серпня, спільнота Acala провела другий аналіз відстеження транзакцій. Вони виявили, що загалом 3,022 мільярда доларів США (а не 1,29 мільярда, як спочатку оцінювалося) були помилково викарбувані та витребувані (як винагорода) постачальниками ліквідності. На щастя, було також відновлено додаткові 1,68 мільярда доларів США, в результаті чого загальна сума відновлених коштів склала 2,97 мільярда із загальних 3,02 мільярда.

15 серпня спільнота провела референдум про спалення вилучених 1,29 мільярдів доларів США. Це частково відновило прив’язку токена, яка зараз становить близько 0,80 долара США. 20 серпня відбулося чергове голосування щодо спалення решти 1,68 мільярда доларів США.

Після експлойту Acala

Acala чітко визначила протокол пулу ліквідності aUSD Honzon як джерело вразливості карбування. Актив, який поєднується з aUSD у пулі, про який йде мова, iBTC, не постраждав, а також його код не був частиною проблеми. Interlay (творець iBTC) дистанціювався від фіаско.

"Є ONE важлива річ, яку слід з’ясувати: це не був злом iBTC… Interlay/iBTC не були скомпрометовані. Інцидент жодним чином не загрожував ні Interlay як мережі, ні iBTC як продукту. Усі системні операції були й залишаються повністю функціональними", Олексій Замятін, співзасновник і генеральний директор Interlay, розповів в інтерв’ю CoinDesk .

Повний обсяг помилок Acala все ще досліджується. У заяві Бет Чен сказав:

«Ми продовжуємо працювати з нашими партнерами та Автори, щоб відстежити помилково викарбувані aUSD на 16 адресах гаманців. Результати й надалі публікуватимуться прозоро, і спільнота зможе продовжувати колективно формулювати пропозиції щодо вирішення помилково викарбуваних aUSD. Ми дуже цінуємо терпіння та підтримку кожного».

ОНОВЛЕННЯ (23 серпня, 9:58 UTC): Виправляє орфографію на Moonbeam у 10 абзаці.

ОНОВЛЕННЯ (23 серпня, 13:55 UTC): До 9-го абзацу додано голосування спільноти, проведене на вихідних.