Polkadot’s (DOT) decentralised finance (DeFi) hub, Acala, doznał wczoraj poważnego włamania. Atakującym udało się sztucznie stworzyć 1,2 miliarda aUSD, stablecoina projektu. Przyglądamy się temu, co się stało i pierwszym konsekwencjom
Hack of Acala: co się stało
Protokół Acala zaalarmował swoich użytkowników o „problemie z konfiguracją” już na początku niedzieli, ponieważ kilku innych graczy ekosystemu zaczęło ostrzegać o problemie. Do połowy dnia protokół potwierdził, że problem istniał na niedawno uruchomionej puli płynności iBTC/aUSD, co doprowadziło do „błędnych mennic znacznej ilości w aUSD. „
Zidentyfikowaliśmy problem jako błędną konfigurację puli płynności iBTC/aUSD (która została uruchomiona wcześniej dzisiaj), która spowodowała błędne miętolenie znacznej ilości aUSD
1/– Acala (@AcalaNetwork) 14 sierpnia 2022
Przestępcy mogli wykorzystać wadę do sztucznego stworzenia ponad 1,2 miliarda aUSD, stabilnegocoina protokołu. Wbrew temu, co czytaliśmy tu i ówdzie, nie jest to kradzież, ale tworzenie żetonów. Jeśli weźmiemy pod uwagę tę sztucznie stworzoną sumę, to jest to jednak największy hack w historii DeFi.
Osoba ta rzekomo powiązała konto Ethereum z protokołem Acala, a adres został podany za pośrednictwem platformy wymiany Binance. Acala potwierdziła, że adresy związane z tym włamaniem zostały zamrożone. Ponad 99% tej kwoty jest zablokowane na parabanku Acali i nie można jej przelać. W tym samym czasie protokół został zatrzymany:
Meanwhile funkcje w tym swap, xcm, honzon-related etc na Acali zostały wstrzymane poprzez pilne głosowania governance do odwołania; paleta oracle również została wstrzymana, aby użytkownicy nie musieli martwić się o likwidacje w między czasie.
7/– Acala (@AcalaNetwork) 14 sierpnia 2022
Według Acali, problem z konfiguracją, który doprowadził do włamania, został już rozwiązany. Ale szkody zostały już wyrządzone, a konsekwencje dla projektu odczuwalne.
AUSD stablecoin stąpa po hackowaniu protokołu Acala
Jak zauważyło kilku komentatorów, o ile nie jest to kradzież, o tyle ilość sztucznie wykreowanych pieniędzy jest kolosalna, nawet jak na sektor DeFi. Najbardziej widoczną konsekwencją był katastrofalny depeg stablecoina aUSD, który wczoraj wybił 0,05 USD. Od tego czasu odzyskał on swoją wartość, ale wciąż nie udało mu się odzyskać parytetu z dolarem:
Jeśli chodzi o ACA, to ono również zaliczyło spory spadek, tracąc 17% w nieco ponad dobę. Oczywiście będziemy musieli poczekać i zobaczyć, jak daleko zajdzie ta jesień, gdy pojawi się więcej informacji
Project governance w pytaniu
Poza tymi względami finansowymi, kilku członków społeczności kryptowalutowej wyraziło zaniepokojenie decentralizacją projektu, który przeszedł w tryb konserwacji, aby zatrzymać transfer środków utworzonych:
Myślę, że aby być „zdecentralizowanymi” finansami (DeFi), musiałoby to przejść do Governance. Jeśli Acala centralnie kontroluje tę decyzję to czy to naprawdę jest DeFi?
– Gr33nHatt3R.dot ⭕ (@Gr33nHatt3R) 14 sierpnia 2022
„Musiałoby dojść do głosowania w trybie governance, żeby to było „zdecentralizowane” finansowanie (DeFi). Jeśli Acala kontroluje tę decyzję centralnie, to czy rzeczywiście jest to DeFi? „
Acala potwierdził, że protokół czekał na decyzję wspólnoty przed uwolnieniem tych funduszy:
Pending Acala community collective governance decision on resolution of the error minting, these errorneously minted aUSD remaining on Acala parachain along with these swapped Acala parachain native tokens have been transfer disabled.
4/– Acala (@AcalaNetwork) 14 sierpnia 2022
„W oczekiwaniu na decyzję zbiorowego zarządzania społecznością, […] te aUSD, które zostały błędnie wydobyte pozostające na parachainie Acala, jak również rodzime tokeny […], które zostały obrócone, są zablokowane i nie mogą być przekazane. „
An uncertain future for Acala
Tymczasem społeczność debatuje. Na Discordzie Acala niektórzy chcą, aby zmiany zostały cofnięte na parachainie. Inni uważają, że stanowiłoby to zły precedens dla projektu. Jest to częsta debata w społeczności kryptowalutowej, której najsłynniejszym przykładem jest hack, który doprowadził do powstania Ethereum (ETH).
Niezależnie od decyzji społeczności Acala, już teraz widzimy, że zaufanie do protokołu zostało nadszarpnięte od wczoraj. To nie jedyny hack związany z DeFi, który miał miejsce w ostatnim czasie. Niecały tydzień temu Curve Finance również doznał ataku i zobaczył, że zniknęło 570 tysięcy dolarów.
Acala była jednym z najbardziej śledzonych projektów Polkadota: w marcu 2022 roku udało mu się zebrać 250 milionów dolarów, aby promować przyjęcie jego stablecoina aUSD. Jest to więc jeden z przyszłych gigantów Polkadotu, który właśnie się potknął.