Hab kewangan terdesentralisasi Polkadot (DeFi) Acala mengalami serangan besar terhadap kumpulan mudah tunainya yang baru dilancarkan pada hari Ahad. Eksploitasi itu membolehkan penggodam menghasilkan lebih daripada 1.2 bilion aUSD, stablecoin projek itu.
Tidak lama selepas penggodaman, pasukan Acala mengemas kini pengguna di Twitter, dengan menyatakan bahawa eksploitasi itu berasal daripada "salah konfigurasi kumpulan kecairan iBTC/aUSD." Salah konfigurasi kini telah diperbetulkan, menurut projek itu.
Kami telah mengenal pasti isu ini sebagai salah konfigurasi kumpulan kecairan iBTC/aUSD (yang disiarkan lebih awal hari ini) yang mengakibatkan kesilapan mencatatkan sejumlah besar aUSD
1/— Acala (@AcalaNetwork) Ogos 14, 2022
Acala Menangguhkan Aktiviti Dalam Rangkaian
Data onchain mendedahkan bahawa kebanyakan stablecoin yang ditempa masih dalam akaun Acala. Penyerang menukar sebahagian kecil daripada stablecoin dengan token asli Acala ACA dan empat token lain. Pada masa penulisan, akaun itu memegang kira-kira $1.27 bilion bernilai aUSD, mewakili lebih daripada 99% daripada token yang ditempa.
Walaupun komuniti Acala masih belum membuat keputusan muktamad mengenai eksploitasi itu, pasukan itu menyatakan bahawa ia telah menggantung akaun yang terlibat daripada memindahkan token.
Menurut projek itu, aktiviti dalam rantaian seperti pertukaran dan pemesejan silang juga telah dihentikan untuk pengguna lain sehingga diberitahu kelak. Protokol itu menyatakan bahawa palet oraclenya juga digantung, jadi pengguna tidak perlu risau tentang pembubaran paksa.
Sementara itu, aUSD, the stablecoin pertama pada Polkadot, bertindak balas secara negatif terhadap kejadian itu dan kehilangan pariti USDnya. Selepas turun hampir 50% kepada harga dagangan $0.57, stablecoin didagangkan pada $0.89 pada masa akhbar.
Serangan Acala Mungkin Bukan Penamat
Walaupun Acala telah membetulkan salah konfigurasi dalam kumpulannya, insiden itu menambah bilangan aplikasi terdesentralisasi (dApps) yang telah menjadi mangsa penggodam yang sentiasa mencari pepijat kontrak pintar untuk dieksploitasi.
Victor Young, pengasas Analog, projek berasaskan lapisan-0, bukti masa (PoT), mengulas mengenai penggodaman Acala, dengan menyatakan bahawa Polkadot adalah "selamat dengan reka bentuk" kerana rantai gegantinya, tetapi perkara yang sama tidak boleh dikatakan tentang parachain
Beliau menyatakan bahawa eksploitasi dApp seperti itu mungkin berlaku pada masa hadapan jika pemaju kontrak pintar tidak kerap menyemak kod mereka.
“Pada pandangan saya, kami akan terus melihat lebih banyak serangan ini kerana banyak pembangun dApp tidak melakukan kerja keras apabila menentukan sifat keselamatan kod mereka. Walaupun kontrak pintar diaudit, kod itu mungkin tidak mudah. Sehubungan itu, pembangun dan pakar QA perlu menilai secara berterusan bagi memastikan kod tersebut mencapai objektifnya,” katanya.
Binance Percuma $100 (Eksklusif): Gunakan pautan ini untuk mendaftar dan menerima $100 percuma dan potongan 10% yuran pada Binance Futures bulan pertama (segi).
Tawaran Istimewa PrimeXBT: Gunakan pautan ini untuk mendaftar & masukkan kod POTATO50 untuk menerima sehingga $7,000 pada deposit anda.
Sumber: https://cryptopotato.com/over-1-2-billion-ausd-minted-in-an-exploit-of-polkadots-defi-hub-acala/