Внутри DeFi-эксплойта на 3 млрд долларов Криптo Acala

Когда в субботу была атакована децентрализованная финансовая платформа Acala, что позволило злоумышленникам отчеканить то, что технически стоило 3 миллиарда доллароваUSD стейблкоины, возникает естественный вопрос: разве Acala T проводила аудит их кода?

Да, протокол на основе Polkadot, конечно, это сделал. Но эксплойт включал в себя неправильную конфигурацию в ONE из Acala пулы ликвидности– основа децентрализованных бирж (DEX), где криптовалюты обмениваются в соответствии с математическим уравнением вместо обычного ордербука – которые берут начало из совершенно другого проекта, протокола Honzon. И это позволило создать 3,02 миллиарда новых стейблкоинов aUSD, что резко снизило их цену с предполагаемого $1 за штуку.

«Мы T проводили исчерпывающий обзор протокола Honzon. В то время мы заявили, что для полного расследования выявленных нами проблем требуются дополнительные обзоры», — сказал Ник Селби, вице-президент по практике обеспечения программного обеспечения в Trail of Bits, в интервью CoinDesk. Эта компания была ONE из нескольких фирм, которые в прошлом году провели аудит смарт-контрактов Acala.

В заявлении для CoinDesk Брайан Чен, соучредитель и технический директор Acala, объяснил, что были проведены многочисленные аудиты с несколькими ведущими аудиторскими фирмами, помимо Trail of Bits. ONE из таких фирм была Security Research Labs (SRLabs), консалтинговая и исследовательская компания по кибербезопасности.

«Весь код, задействованный в ошибках aUSD, был зрелым кодом, который был проверен несколько раз, а также испытан в боевых условиях на Karura, нашей сети Canary на Kusama», — сказал Чен. (Kusama — это экспериментальная среда разработки для проектов, связанных с Polkadot.)

Бетт Чен, соучредитель и генеральный директор Acala, также внесла ясность в ситуацию, подчеркнув, что аудит T выявляет неправильную конфигурацию параметров.

«Конфигурация параметров не является частью изменения кода. Например, когда изменяется коэффициент ликвидации, новый аудит не требуется; голосование по управлению может обновить параметры. Однако сам код должен был предотвратить неправильную конфигурацию, которая не обнаруживается внутренними и внешними аудитами», — сказала она в заявлении для CoinDesk.

Другими словами, код протокола должен был обнаружить ошибку в конфигурации параметров, но он T сделал.

Читать дальше: В Криптo T безопасности базового уровня

Около 2,97 млрд из ошибочно отчеканенных 3,02 млрд aUSD были впоследствии восстановлены, а около 1,29 млрд aUSD были сожжены после срочного голосования по управлению. Сообщество Acala также проголосовало за сжигание оставшихся 1,68 млрд aUSD в ходе более позднего голосования. Вот как все это развалилось.

пул ликвидности iBTC/aUSD

Прослойка, децентрализованная сеть стейблкоинов, недавно запустила InterBTC (iBTC) – Wrapped Bitcoin токен. Обернутые токены – это синтетические (или токенизированные) версии Криптo , которые не являются собственными для блокчейнов, на которых они существуют. Эти токены iBTC дебютировали на двух платформах Polkadot DeFi: Acala и Moonbeam.

Читать дальше: Что такое пулы ликвидности?

4 августа, Акалаобъявилпул ликвидности iBTC/aUSD. Пул должен был быть запущен около 13 августа. Членам сообщества Acala предлагалось вносить iBTC и aUSD в пул для обеспечения ликвидности. Эти поставщики ликвидности впоследствии будут вознаграждены интерлейсом (ИНТР) и акала (АКА) жетонов.

Атака «ошибочных монет»

Пул ликвидности iBTC/aUSD был запущен по расписанию 13 августа. Вскоре после этого были инициированы ошибочные минты. Первопричиной стала неправильная конфигурация протокола, которая распределяла вознаграждения в aUSD вместо INTR и ACA.

В течение нескольких минут один из участников Acala заметил эту активность и уведомил сообщество. Вскоре после этого сообщество Acala провело голосование по управлению, которое санкционировало остановкуАкала Своп, протокол DEX компании Acala.

Дальнейшее расследование показало, что неверная конфигурация протокола Honzon является основной причиной ошибок mints. Последующие голосования привели к соглашению о приостановке Honzon и окончательном исправлении ситуации.

Как стейблкоин, aUSD обычно торгуется в соотношении примерно 1:1 с долларом США. Стоимость aUSD упала с примерно $1,03 до $0,009 после атаки.

Читать дальше: Стейблкоин DeFi-платформы Acala упал на 99% после того, как хакеры выпустили 1,3 млрд токенов

Отслеживание виновных

К 15 августа Акала имелаотслежены все транзакции, связанные с ошибками mintна 16 кошельков. Общая сумма aUSD в этих кошельках первоначально оценивалась примерно в 1,29 млрд. Еще 4,3 млн остались невостребованными в пуле вознаграждений iBTC/aUSD.

Два дня спустя, 17 августа, сообщество Acala провело второй анализ отслеживания транзакций. Они обнаружили, что в общей сложности 3,022 млрд aUSD (а не 1,29 млрд, как предполагалось изначально) были ошибочно отчеканены и востребованы (в качестве вознаграждения) поставщиками ликвидности. К счастью, было также восстановлено еще 1,68 млрд aUSD, в результате чего общая сумма восстановленных средств составила 2,97 млрд из общей суммы в 3,02 млрд.

Сообщество провело референдум по сжиганию 1,29 млрд aUSD, восстановленных 15 августа. Это частично восстановило привязку токена, которая в настоящее время составляет около $0,80. Еще одно голосование по управлению состоялось 20 августа по сжиганию оставшихся 1,68 млрд aUSD.

После подвига Акалы

Acala четко определила протокол пула ликвидности aUSD Honzon как источник уязвимости чеканки. Актив, связанный с aUSD в рассматриваемом пуле, iBTC, не был затронут, и его код не был частью проблемы. Interlay (создатель iBTC) дистанцировался от катастрофы.

«Есть ONE важная вещь, которую нужно прояснить — это не был взлом iBTC… Interlay/iBTC не были скомпрометированы. Инцидент никоим образом не поставил под угрозу Interlay как сеть, ни iBTC как продукт. Все системные операции были и остаются полностью функциональными», Алексей Замятин, соучредитель и генеральный директор Interlay рассказал в интервью CoinDesk .

Полный масштаб ошибок монетного двора Acala все еще расследуется. В заявлении,Бетт Чен сказал:

«Мы продолжаем работать с нашими партнерами и Авторы , чтобы отследить aUSD, ошибочно отчеканенные 16 адресами кошельков. Результаты будут по-прежнему публиковаться прозрачным образом, и сообщество может продолжить коллективно формулировать предложения по решению проблемы ошибочно отчеканенных aUSD. Мы высоко ценим терпение и поддержку каждого».

ОБНОВЛЕНИЕ (23 августа, 9:58 UTC):Исправление орфографии слова Moonbeam в 10-м абзаце.

ОБНОВЛЕНИЕ (23 августа, 13:55 UTC):Добавляет голосование сообщества, проведенное в выходные, в 9-м абзаце.