Stablecoin ekosistem Polkadot Acala ($aUSD) mengalami eksploitasi pada hujung minggu yang membawa kepada seorang pelakon berniat jahat mengeluarkan $1.2 bilion daripada udara tipis. Pasukan Acala "menjeda" operasi melalui cadangan tadbir urus kecemasan untuk menyiasat isu tersebut.
Pada 15 Ogos, a cadangan tadbir urus telah dikemukakan untuk "membakar dengan berkesan" $1.288 bilion aUSD berikutan pengeluaran laporan rantaian daripada Majlis Acala.
$1.2 bilion daripada aUSD yang dicetak oleh penggodam semalaman dan hampir tidak mengintip dalam garis masa saya.
Perkara yang saya rasa lebih lemah berbanding harga pasaran pada masa ini.
Kami ada banyak kerja yang perlu dilakukan. https://t.co/HE2MGlXk0d
— Mike ?️as (?️♂️, ⛳️) (@mdudas) Ogos 14, 2022
Acala pada mulanya memberitahu pengguna tentang isu itu sekitar 3 PG BST pada 14 Ogos, menyatakan bahawa mereka sedang berusaha untuk "mengurangkan isu tersebut." Sumber eksploitasi adalah secara terbuka dilaporkan menjelang 1 PM BST pada 14 Ogos, hanya 10 jam kemudian. Pengumuman itu mengesahkan bahawa lebih 99% daripada "salah mencetak aUSD [kekal] pada parachain Acala."
Kami telah mengenal pasti isu ini sebagai salah konfigurasi kumpulan kecairan iBTC/aUSD (yang disiarkan lebih awal hari ini) yang mengakibatkan kesilapan mencatatkan sejumlah besar aUSD
1/— Acala (@AcalaNetwork) Ogos 14, 2022
Dalam rangkaian Twitter yang mengenal pasti punca eksploitasi, Acala menyatakan bahawa ia telah mengenal pasti "alamat dompet yang menerima aUSD yang tersilap dicetak... dengan pengesanan aktiviti dalam rantaian" sedang dijalankan.
Konfigurasi yang salah sejak itu telah diperbetulkan dan alamat dompet yang menerima aUSD yang dicetak secara salah telah dikenal pasti, dengan pengesanan aktiviti dalam rantai berkenaan dengan alamat ini sedang dijalankan
2/— Acala (@AcalaNetwork) Ogos 14, 2022
Berkenaan potensi kesan ke atas ekosistem Polkadot yang lebih luas, Victor Young, Pengasas dan Ketua Arkitek di Analog, mengulas bahawa
“Saya masih percaya bahawa infrastruktur Polkadot adalah selamat dengan reka bentuk… perkara yang sama tidak boleh dikatakan tentang Acala Network, rantaian khusus aplikasi yang disesuaikan untuk menggerakkan kecairan, aktiviti ekonomi dan utiliti syiling yang stabil pada platform.
Pada pandangan saya, kami akan terus melihat lebih banyak serangan ini kerana banyak pembangun dApp tidak melakukan kerja keras semasa mentakrifkan sifat keselamatan kod mereka. Walaupun kontrak pintar itu diaudit, kod itu mungkin tidak mudah dibuktikan.”
Rangka kerja tadbir urus dan kepimpinan
Rangkaian Acala komited kepada cadangan tadbir urus komuniti untuk memutuskan penyelesaian kepada insiden itu. Pada masa ini, Acala mempunyai Majlis Tadbir Urus yang mengandungi lima alamat.
Menurut Pelan hala tuju bagi Acala, "demokrasi penuh" masih dalam fasa "perancangan". Pelan hala tuju Fasa 3, yang hampir lengkap, menyatakan:
"Keputusan Yayasan Acala mengenai rangkaian (naik taraf masa jalan, penambahbaikan dll) dibuat secara telus dalam rangkaian melalui pengundian oleh Majlis Umum Acala yang dilantik."
Acala juga telah membolehkan elemen demokrasi "supaya sesiapa sahaja boleh mencadangkan referendum dengan mendepositkan jumlah minimum token untuk tempoh tertentu." Walau bagaimanapun, "demokrasi penuh" dijadualkan untuk Fasa 4, yang tidak akan dilaksanakan sehingga pusat pemeriksaan di bawah telah dipenuhi.
– Semua protokol DeFi dipasangkan but, berjalan dengan kestabilan dan keselamatan yang tinggi untuk tempoh masa yang munasabah (untuk memastikan protokol adalah kukuh semasa turun naik pasaran yang sangat tinggi.)
– Rangkaian mempunyai jumlah kecairan yang mencukupi untuk menggerakkan protokol, dan kecairan adalah mampan.
– Proses yang kukuh dan telus telah disediakan untuk setiap protokol DeFi untuk penambahbaikan Business-as-Usual (BAU) yang berterusan, contohnya menambah pasangan dagangan baharu atau cagaran baharu.
– Ahli majlis pakar telah dikenal pasti seperti Penilai Risiko, Penilai Teknikal dan lain-lain untuk terus memastikan keselamatan dan keselamatan rangkaian dan protokol.
– Acala EVM dibangunkan secukupnya dengan fungsi dan keselamatan gred pengeluaran.
Oleh itu, mengikut proses tadbir urus semasa, Majlis Acala nampaknya masih mengekalkan kawalan rangkaian yang terlalu besar. Walaupun ini mungkin tidak bagus untuk tahap protokol yang tidak berpusat, ia mungkin membantu Acala dalam pengurusan resolusi dan "untuk menyelesaikan kesilapan aUSD & memulihkan tambatan aUSD."
Resolusi dan penyelesaian
Untuk mengurangkan risiko selanjutnya, Acala menyatakan bahawa "token asli parachain telah dilumpuhkan pemindahan," jadi hentikan aUSD yang salah daripada meninggalkan parachain aslinya dan menyebarkan penularan ke dalam ekosistem Polkadot yang lebih luas.
Pada masa penulisan, aUSD bernilai $0.88 setiap token selepas ia jatuh ke paras terendah $0.09. Pasak nampaknya antara $0.90 dan $0.80, masih kira-kira 10% – 20% di bawah pasak yang diingini.
Acala menyiarkan kemas kini kepada keadaan pada pagi Isnin, mengesahkan nilai aUSD dicetak sebagai $1.288 bilion. Tweet itu termasuk a pos forum memperincikan "hasil surih".
Laporan surih insiden #1: Ini adalah kumpulan pertama hasil surih yang diterbitkan. AUSD 1B yang tersalah tempa telah dikenal pasti dan pemindahannya dilumpuhkan sehingga keputusan tadbir urus komuniti Acala yang belum selesai menyelesaikan ralat.
Thread di bawah:https://t.co/KazsYLxzqK
— Acala (@AcalaNetwork) Ogos 15, 2022
Pasukan Acala mengesahkan bahawa maklumat itu kini boleh digunakan untuk "mengesahkan data dalam rantaian, & merumuskan cadangan untuk menyelesaikan kesilapan aUSD."
Punca khusus kejadian ditanda masa dalam siaran forum.
“2022-08-13 22:41 UTC – Kumpulan iBTC/aUSD telah digubal dengan salah konfigurasi dan pudina yang salah dimulakan.”
"salah konfigurasi" menyebabkan AUST tersilap dicetak, dan dana telah dihantar kepada beberapa penyedia LP untuk kumpulan itu. Dana ini telah dibekukan dengan berkesan pada masa ini, seperti yang disahkan oleh Acala:
“Aset digital yang ditukar yang kekal pada parachain Acala, sejak itu telah dilumpuhkan pemindahan sementara menunggu keputusan tadbir urus kolektif komuniti Acala mengenai penyelesaian ralat pencetakan.”
Sejak kemas kini dikeluarkan, "Referenda" cadangan telah dihantar. The cadangan tidak mempunyai undian "tidak" pada masa akhbar - bertujuan untuk "membakar dengan berkesan" aUSD yang salah dengan mengembalikannya kepada protokol Honzon.
Cadangan itu termasuk kod yang diperlukan untuk memindahkan dana ke alamat pseudo-burn dan menyenaraikan semua alamat yang terdapat dalam penemuan Acala.
Sumber: https://cryptoslate.com/acala-submits-governance-proposal-to-burn-1-28b-ausd-following-investigation-of-exploit/