В выходные в стабильной криптовалюте Acala ($aUSD) экосистемы Polkadot произошел сбой, в результате которого злоумышленник вывел из воздуха $1,2 млрд. Команда Acala "приостановила" работу через чрезвычайное предложение руководства для расследования проблемы.

15 августа было представлено предложение руководства "эффективно сжечь" $1,288 млрд. aUSD после опубликования отчета Совета Акала.

1,2 миллиарда долларов США, напечатанные хакером за одну ночь, и едва заметный писк в моей временной шкале.

Мне кажется, что ситуация более медвежья, чем оценивает рынок в данный момент.

У нас много работы. https://t.co/HE2MGlXk0d

- Mike 🌪️as (🏌️♂️, ⛳️) (@mdudas) August 14, 2022

Компания Acala первоначально уведомила пользователей о проблеме около 3 часов утра по тихоокеанскому времени 14 августа, заявив, что они работают над "смягчением проблемы". Об источнике эксплойта было публично объявлено к 13:00 BST 14 августа, всего через 10 часов. Сообщение подтвердило, что более 99% "ошибочно отчеканенных aUSD [остались] на парасейне Acala".

Мы определили, что проблема заключается в неправильной конфигурации пула ликвидности iBTC/aUSD (который был запущен ранее сегодня), что привело к ошибочному майнингу значительного количества aUSD.
1/

- Acala (@AcalaNetwork) 14 августа 2022 г.

В ветке Twitter, где была указана причина эксплойта, Acala заявила, что она определила "адреса кошельков, которые получили ошибочно отчеканенные aUSD... с отслеживанием активности на цепочке" в процессе.

С тех пор ошибка была устранена, и адреса кошельков, получивших ошибочно отчеканенные aUSD, были идентифицированы, с отслеживанием активности на цепочке в отношении этих адресов.
2/

- Acala (@AcalaNetwork) 14 августа 2022 г.

Что касается потенциального влияния на более широкую экосистему Polkadot, Виктор Янг, основатель и главный архитектор Analog, прокомментировал следующее

"Я по-прежнему считаю, что инфраструктура Polkadot безопасна по своей конструкции... то же самое нельзя сказать о сети Acala Network, специфической для приложений цепи, настроенной для обеспечения ликвидности, экономической активности и стабильной полезности монет на платформе.

На мой взгляд, мы будем продолжать видеть больше таких атак, потому что многие разработчики Dapp не уделяют должного внимания определению свойств безопасности своего кода. Даже если смарт-контракт прошел аудит, код может оказаться небезопасным".

Система управления и руководство

Сеть Акала берет на себя обязательство по реализации предложения по управлению сообществом для принятия решения по урегулированию инцидента. В настоящее время в Акале действует Совет по управлению, состоящий из пяти адресов.

Согласно дорожной карте Notion для Acala, "полная демократия" все еще находится на стадии "планирования". Дорожная карта Фазы 3, которая почти завершена, гласит:

"Решения Фонда Acala, касающиеся сети (обновление, улучшение и т.д.), становятся прозрачными на сети посредством голосования назначенного Генерального совета Acala".

Acala также включила элемент демократии, "чтобы любой мог предложить референдум, внеся минимальное количество токенов на определенный период". Однако "полная демократия" запланирована на четвертую фазу, которая не будет реализована до тех пор, пока не будут достигнуты указанные ниже контрольные точки.

- Все протоколы DeFi являются загрузочными, работают с высокой стабильностью и безопасностью в течение разумного периода времени (для обеспечения надежности протоколов во время экстремальной волатильности рынка).

- Сеть имеет достаточное количество ликвидности для работы протоколов, и эта ликвидность является устойчивой.

- Для каждого протокола DeFi были установлены надежные и прозрачные процессы для постоянного совершенствования Business-as-Usual (BAU), например, добавления новых торговых пар или новых залогов.

- Для дальнейшего обеспечения безопасности и надежности сети и протоколов были определены эксперты, такие как оценщик рисков, технический оценщик и т.д.

- Acala EVM обладает достаточной функциональностью и безопасностью производственного уровня.

Таким образом, в соответствии с текущим процессом управления, Совет Акала по-прежнему сохраняет контроль над сетью. Хотя это может быть не очень хорошо для уровня децентрализованной природы протокола, это может помочь Acala в управлении разрешениями и "разрешить ошибку монетарного двора aUSD и восстановить привязку aUSD".

Резолюции и решения

Чтобы снизить дальнейший риск, Acala заявила, что "родные токены parachain были отключены от передачи", чтобы не дать ошибочным aUSD покинуть родной parachain и распространить заразу в более широкую экосистему Polkadot.

На момент написания статьи aUSD оценивается в $0,88 за токен после падения до минимума в $0,09. Судя по всему, привязка находится между $0,90 и $0,80, что все еще на 10% - 20% ниже желаемой привязки.

Источник: TradingView
Источник: TradingView

В понедельник утром Acala опубликовала обновленную информацию о ситуации, подтвердив, что стоимость отчеканенных aUSD составляет $1,288 млрд. Твит включал сообщение на форуме с подробным описанием "результатов трассировки".

Отчет об отслеживании инцидента №1: Это первая опубликованная партия результатов отслеживания. Были выявлены 1,288B ошибочно отчеканенных aUSD, и их переводы отключены до тех пор, пока решение руководства сообщества Акала не устранит ошибку.

Нить ниже: https://t.co/KazsYLxzqK

- Acala (@AcalaNetwork) 15 августа 2022 г.

Команда Acala подтвердила, что информация теперь может быть использована для "проверки данных на цепочке и формулирования предложений по устранению ошибок монетного двора aUSD".

Конкретная причина инцидента указана в сообщении на форуме.

"2022-08-13 22:41 UTC - пул iBTC/aUSD был введен в действие с неправильной конфигурацией и начался ошибочный майнинг".

Неправильная конфигурация" привела к ошибочной чеканке aUST, и средства были отправлены нескольким LP-провайдерам для пула. В настоящее время эти средства фактически заморожены, что подтвердила Акала:

"Обмененные цифровые активы, которые остались на парасейне Acala, были отключены в ожидании решения коллективного руководства сообщества Acala по устранению ошибки при майнинге".

После выхода обновления было подано предложение "Референдума". На данный момент у предложения нет ни одного голоса "против" - цель предложения "эффективно сжечь" ошибочный aUSD, вернув его в протокол Honzon.

Предложение включает код, необходимый для перемещения средств на псевдо-сгоревший адрес, и перечисляет все адреса, присутствующие в выводах Acala.

Лиам Акиба Райт
Редактор блокчейна в CryptoSlate

Лиам впервые занялся криптовалютами, добывая Dogecoin после работы в своей видеопроизводственной компании в 2013 году. С тех пор он стал `максималистом блокчейна` и впоследствии стратегическим консультантом по Web3.

Источник