Хакери скористалися лазівкою в нещодавно створеному пулі ліквідності iBTC/aUSD Acala, щоб викрасти токени на мільйони доларів 14 серпня 2022 року, змусивши стейблкоїн aUSD втратити прив’язку до долара США. З того часу команда Acala вимкнула функцію передачі токенів на платформі, що викликало неоднозначну реакцію та критику з боку прихильників децентралізації.
Платформа Acala DeFi від Polkadot експлуатується
Мережа Acala, децентралізований фінансовий центр (DeFi) екосистеми Polkadot, є останнім протоколом блокчейну, яким можуть скористатися зловмисники.
14 серпня 2022 року команда Acala звернулася до Twitter, щоб повідомити, що вона виявила помилку конфігурації у своєму протоколі Honzon і будує плани щодо вирішення проблеми.
«Ми помітили проблему конфігурації протоколу Honzon, яка впливає на USD. Ми проводимо термінове голосування щодо призупинення роботи Acala, поки ми досліджуємо та усуваємо проблему. Ми повідомимо про це, коли повернемося до нормальної роботи мережі», – написав Акала в Twitter
Однак команда Acala не змогла вчасно впоратися з цією проблемою, оскільки кілька хакерів скористалися лазівкою, щоб викрасти принаймні 1 мільярд доларів США, який є рідним стейблкоіном мережі Acala.
Згідно з твітом @alice_und_bob, кілька користувачів протоколу Acala отримали прибуток від цієї ситуації, причому деякі боти успішно перевели кілька помилково викарбуваних доларів США з Acala.
«Хоча вся увага була зосереджена на одному користувачеві, який викарбував 1.2 мільярда $aUSD, водночас кілька інших користувачів скористалися ситуацією, (а) відправивши $aUSD на Moonbeam, (б) обмінявши на $DOT і надіславши його до Polkadot © обмінюючи на $iBTC і надсилаючи його в Interlay», — зазначив він.
Атака змусила стейблкоїн aUSD втратити прив’язку до долара США, торгуючись на рівні 0.009 долара на момент написання статті.
Перекази в USD припинено
За оновлення опублікований командою Acala 15 серпня 2022 року, він успішно ідентифікував гаманці, що містять 1.288 мільярда «помилково» викарбуваних стейблкоїнів aUSD, і вимкнув функцію передачі токенів, «доки рішення спільноти Acala, що очікує на розгляд, не вирішить цю помилку».
Acala закликала своїх членів спільноти використовувати всю інформацію про експлойт для формулювання пропозицій щодо управління для вирішення проблеми, а також чітко дала зрозуміти, що вона співпрацює зі своїми «партнерами та учасниками для відстеження відтоків помилково викарбуваних транзакцій, пов’язаних з USD».
Команда закликала одержувачів помилково викарбуваних доларів США, а також тих, хто обміняв стейблкоїни на інші токени, повернути кошти на вказані нижче адреси:
Полкадот (DOT): 13YMK2eYoAvStnzReuxBjMrAvPXmmdsURwZvc62PrdXimbNy
Місячний промінь: 0x7369626cd0070000000000000000000000000000
Справді, цей інцидент ще раз підкреслив важливість ретельного аудиту та тестування перед запуском рішень DeFi. Зломи та пограбування продовжують залишатися головним недоліком для протоколів блокчейну, і галузь побачить повне впровадження лише в тому випадку, якщо ці сценарії стануть справою минулого.
На момент публікації рідний токен Polkadot DOT є 11-ю за величиною криптовалютою у світі. Ціна DOT коливається близько 8.88 доларів США, а ринкова капіталізація – 9.80 мільярдів доларів.
Джерело: https://crypto.news/polkadot-acalas-ibtc-ausd-liquidity-pool-bug-exploited-by-hackers/