Ang stablecoin ng Polkadot ecosystem na Acala ($aUSD) ay dumanas ng pagsasamantala noong katapusan ng linggo na humantong sa isang malisyosong aktor na nag-minting ng $1.2 bilyon. Ang koponan ng Acala ay "nagpause" ng mga operasyon sa pamamagitan ng isang panukalang pang-emergency na pamamahala upang imbestigahan ang isyu.
Noong Agosto 15, a panukala sa pamamahala ay isinumite sa "epektibong pagsunog" ng $1.288 bilyon aUSD kasunod ng paglabas ng on-chain na ulat mula sa Acala Council.
$1.2 bilyon ng aUSD na inilimbag ng isang hacker sa magdamag at halos hindi nakasilip sa aking timeline.
Ang mga bagay ay parang mas mababa sa akin kaysa sa pagpepresyo ng merkado sa partikular na sandaling ito.
Marami tayong gagawin. https://t.co/HE2MGlXk0d
— Mike ?️as (?️♂️, ⛳️) (@mdudas) Agosto 14, 2022
Una nang inabisuhan ni Acala ang mga user tungkol sa isyu bandang 3 AM BST noong Agosto 14, na nagsasaad na nagsusumikap silang "bawasan ang isyu." Ang pinagmulan ng pagsasamantala ay publiko iniulat pagsapit ng 1 PM BST noong Agosto 14, makalipas lang ang 10 oras. Kinumpirma ng anunsyo na higit sa 99% ng “maling pagkakagawa ng USD [nananatili] sa Acala parachain.”
Natukoy namin ang isyu bilang isang maling configuration ng iBTC/aUSD liquidity pool (na naging live mas maaga ngayon) na nagresulta sa mga error mints ng malaking halaga ng aUSD
1/— Acala (@AcalaNetwork) Agosto 14, 2022
Sa loob ng Twitter thread na tumukoy sa dahilan ng pagsasamantala, sinabi ni Acala na natukoy nito ang "mga address ng pitaka na nakatanggap ng maling paggawa ng aUSD... na may on-chain na pagsubaybay sa aktibidad" na kasalukuyang isinasagawa.
Ang maling pagsasaayos ay naayos na at ang mga address ng wallet na nakatanggap ng maling ginawang aUSD ay natukoy, na may on-chain na aktibidad na pagsubaybay sa paggalang sa mga address na ito ay isinasagawa.
2/— Acala (@AcalaNetwork) Agosto 14, 2022
Tungkol sa potensyal na epekto sa mas malawak na Polkadot ecosystem, si Victor Young, ang Tagapagtatag at Punong Arkitekto sa Analog, ay nagkomento na
“Naniniwala pa rin ako na ang imprastraktura ng Polkadot ay ligtas sa pamamagitan ng disenyo… hindi rin masasabi ang parehong tungkol sa Acala Network, isang chain na partikular sa application na na-customize sa power liquidity, pang-ekonomiyang aktibidad, at stable na coin utility sa platform.
Sa aking pananaw, patuloy tayong makakakita ng higit pa sa mga pag-atakeng ito dahil maraming mga developer ng dApp ang hindi naglalagay sa trabaho kapag tinutukoy ang mga katangian ng seguridad ng kanilang code. Kahit na na-audit ang matalinong kontrata, maaaring hindi palya ang code."
Balangkas at pamumuno ng pamamahala
Ang Acala Network ay nangangako sa isang mungkahi sa pamamahala ng komunidad upang magpasya sa resolusyon sa insidente. Sa kasalukuyan, ang Acala ay may Governance Council na naglalaman ng limang address.
Ayon sa Roadmap ng paniwala para sa Acala, ang "buong demokrasya" ay nasa yugto pa rin ng "pagpaplano". Ang Phase 3 roadmap, na halos kumpleto na, ay nagsasaad:
"Ang mga desisyon ng Acala Foundation tungkol sa network (pag-upgrade ng runtime, mga pagpapahusay atbp) ay ginagawang transparent on-chain sa pamamagitan ng pagboto ng isang hinirang na Acala General Council."
Pinagana rin ng Acala ang isang elemento ng demokrasya "upang ang sinuman ay makapagmungkahi ng isang reperendum sa pamamagitan ng pagdeposito ng pinakamababang halaga ng mga token para sa isang tiyak na panahon." Gayunpaman, ang "buong demokrasya" ay naka-iskedyul para sa Phase 4, na hindi ipatutupad hangga't hindi natutugunan ang mga checkpoint sa ibaba.
– Ang lahat ng DeFi protocol ay naka-bootstrap, tumatakbo nang may mataas na katatagan at seguridad para sa isang makatwirang yugto ng panahon (upang matiyak na ang mga protocol ay maayos sa panahon ng lubhang pagkasumpungin ng merkado.)
– Ang network ay may sapat na dami ng liquidity para paganahin ang mga protocol, at ang liquidity ay sustainable.
– Ang maayos at malinaw na mga proseso ay nai-set up para sa bawat DeFi protocol para sa tuluy-tuloy na mga pagpapahusay sa Business-as-Usual (BAU), hal. pagdaragdag ng mga bagong pares ng kalakalan o mga bagong collateral.
– Natukoy ang mga ekspertong konsehal tulad ng Risk Assessor, Technical Assessor atbp. upang patuloy na matiyak ang seguridad at kaligtasan ng network at mga protocol.
– Ang Acala EVM ay sapat na binuo na may functionality na antas ng produksyon at seguridad.
Samakatuwid, ayon sa kasalukuyang proseso ng pamamahala, lumilitaw pa rin ang Konseho ng Acala na nagpapanatili ng outsized na kontrol sa network. Bagama't maaaring hindi ito mahusay para sa antas ng desentralisadong katangian ng protocol, maaari itong makatulong sa Acala sa pamamahala ng resolusyon at "upang malutas ang error mint ng aUSD at ibalik ang peg ng aUSD."
Mga resolusyon at solusyon
Upang mabawasan ang higit pang panganib, sinabi ni Acala na "na-disable ang paglilipat ng mga katutubong token ng parachain," kaya itigil ang maling aUSD mula sa pag-alis sa katutubong parachain nito at pagkalat ng contagion sa mas malawak na Polkadot ecosystem.
Sa oras ng pagsulat, ang aUSD ay nagkakahalaga ng $0.88 bawat token pagkatapos itong bumaba sa mababang $0.09. Ang peg ay lumilitaw na nasa pagitan ng $0.90 at $0.80, mga 10% - 20% pa rin ang mas mababa sa nais nitong peg.
Nag-post si Acala ng update sa sitwasyon noong Lunes ng umaga, na kinukumpirma ang halaga ng minted aUSD bilang $1.288 bilyon. Kasama sa tweet ang isang forum post nagdedetalye ng "mga resulta ng bakas."
Ulat ng bakas ng insidente #1: Ito ang unang na-publish na batch ng mga resulta ng bakas. Ang 1B na maling ginawang aUSD ay natukoy at ang kanilang mga paglilipat ay hindi pinagana hanggang sa isang nakabinbing desisyon sa pamamahala ng komunidad ng Acala ay nalutas ang error.
Thread sa ibaba:https://t.co/KazsYLxzqK
— Acala (@AcalaNetwork) Agosto 15, 2022
Kinumpirma ng koponan ng Acala na magagamit na ang impormasyon upang "i-verify ang on-chain na data, at magbalangkas ng mga panukala upang malutas ang error mint ng aUSD."
Ang partikular na dahilan ng insidente ay naka-timestamp sa post ng forum.
“2022-08-13 22:41 UTC – Ang iBTC/aUSD pool ay pinagtibay nang may maling pagsasaayos at maling pagsisimula ng mint.”
Ang "misconfiguration" ay humantong sa maling pagkakagawa ng aUST, at ang mga pondo ay ipinadala sa ilang LP provider para sa pool. Ang mga pondong ito ay epektibong na-freeze sa kasalukuyan, gaya ng kinumpirma ng Acala:
“Ang mga pinagpalit na digital asset na nananatili sa Acala parachain, mula noon ay na-disable na sa paglipat habang nakabinbin ang kolektibong pasya ng pamamahala ng komunidad ng Acala sa pagresolba ng error minting."
Dahil inilabas ang update, isang "Referenda" panukala naisumite na. Ang panukala ay walang mga boto na "hindi" sa oras ng press — naglalayong "epektibong sunugin" ang maling aUSD sa pamamagitan ng pagbabalik nito sa protocol ng Honzon.
Kasama sa panukala ang code na kinakailangan upang ilipat ang mga pondo sa isang pseudo-burn na address at inililista ang lahat ng mga address na nasa mga natuklasan ni Acala.
Pinagmulan: https://cryptoslate.com/acala-submits-governance-proposal-to-burn-1-28b-ausd-following-investigation-of-exploit/