Dimanche, le centre de financement décentralisé (DeFi) de Polkadot, Acala, a subi une attaque majeure contre son pool de trésorerie nouvellement lancé. L'exploit a permis au pirate de frapper plus de 1,2 milliard de dollars américains, le stablecoin du projet.
Peu de temps après le piratage, l'équipe d'Acala a mis à jour les utilisateurs sur Twitter, notant que l'exploit provenait d'une "mauvaise configuration du pool de liquidités iBTC / aUSD". La mauvaise configuration a maintenant été rectifiée, conformément à la conception.
Nous avons identifié le problème comme une mauvaise configuration du pool de liquidité iBTC / aUSD (qui a été activé plus tôt dans la journée) qui a entraîné des ticks d'erreur d'un montant important d'aUSD
1 /— Acala (@AcalaNetwork) 14 août 2022
Acala suspend les activités de la chaîne
Les données d'Onchain révèlent que la plupart des stablecoins frappés sont toujours dans le compte Acala. L'attaquant a échangé une petite fraction des stablecoins contre le jeton ACA natif d'Acala et quatre autres jetons. Au moment de la rédaction de cet article, le compte détenait environ 1,27 milliard de dollars américains, ce qui représente plus de 99 % des jetons frappés.
Alors que la communauté Acala n'a pas encore pris de décision finale sur l'exploit, l'équipe a noté qu'elle avait suspendu les comptes impliqués dans le transfert de jetons.
Selon le projet, les activités en chaîne telles que les échanges et la messagerie inter-chaînes ont également été arrêtées pour les autres utilisateurs jusqu'à nouvel ordre. Le protocole a révélé que sa palette oracle a également été suspendue, de sorte que les utilisateurs n'ont pas à s'inquiéter d'une liquidation forcée.
Pendant ce temps, aUSD, le premier stablecoin sur Polkadot, a réagi négativement au crash et a perdu sa parité USD. Après avoir chuté de près de 50% à un prix de négociation de 0,57 $, le stablecoin se négociait à 0,89 $ au moment de mettre sous presse.
L'attaque d'Acala n'est peut-être pas la fin
Bien qu'Acala ait corrigé la mauvaise configuration dans son pool, l'incident ajoute au nombre d'applications décentralisées (dApps) qui ont été victimes de pirates qui recherchent toujours des bogues de contrat intelligents à exploiter.
Victor Young, le fondateur d'Analog, un projet de preuve de temps (PoT) basé sur le niveau 0, a commenté le piratage d'Acala, notant que Polkadot est "design safe" grâce à sa chaîne de retransmission, mais on ne peut pas en dire autant de les protège-chaînes
Il a déclaré que de tels exploits dApp pourraient se produire à l'avenir si les développeurs de contrats intelligents ne vérifiaient pas régulièrement leurs codes.
"À mon avis, nous continuerons à voir davantage de ces attaques car de nombreux développeurs dApp ne font pas l'effort de définir les propriétés de sécurité de leur code. Même si le contrat intelligent est vérifié, le code peut ne pas être infaillible. À cet égard, les développeurs et les experts en assurance qualité doivent continuellement évaluer pour s'assurer que le code atteint ses objectifs », a-t-il déclaré.
Plus de 1,2 milliard de dollars américains inventés dans un exploit de hub Polkadot Acala DeFi sont apparus pour la première fois sur CryptoPotato .