Polkadotas ekosistēmas stabilā monēta Acala ($ aUSD) nedēļas nogalē cieta ekspluatāciju, kuras rezultātā kāds ļaundabīgs aktieris no zila gaisa izkala 1.2 miljardus dolāru. Acala komanda “apturēja” darbības, izmantojot ārkārtas pārvaldības priekšlikumu, lai izmeklētu šo problēmu.
15. augustā a pārvaldības priekšlikums tika iesniegts, lai "efektīvi sadedzinātu" USD 1.288 miljardus pēc tam, kad tika publicēts Acala padomes ziņojums par ķēdi.
1.2 miljardus ASV dolāru, ko nakts laikā izdrukājis hakeris, un manā laika skalā tik tikko skatījās.
Man šķiet, ka lietas šajā konkrētajā brīdī ir lāgākas nekā tirgus cenas.
Mums ir daudz darāmā. https://t.co/HE2MGlXk0d
— Maiks ?️as (?️♂️, ⛳️) (@mdudas) Augusts 14, 2022
Sākotnēji Acala informēja lietotājus par problēmu 3. augustā ap plkst. 14:XNUMX BST, norādot, ka viņi strādā, lai “problēmu mazinātu”. Ekspluatācijas avots bija publiski pieejams ziņots līdz 1. augustā plkst. 14:10 BST — tikai 99 stundas vēlāk. Paziņojums apstiprināja, ka vairāk nekā XNUMX% no "kļūdaini kaltiem ASV dolāriem [palika] Acala parachain".
Mēs esam identificējuši problēmu kā nepareizu iBTC/aUSD likviditātes pūla konfigurāciju (kas šodien tika publicēta agrāk), kā rezultātā radās kļūdas par ievērojamu daudzumu AUSD.
1/— Acala (@AcalaNetwork) Augusts 14, 2022
Twitter pavedienā, kurā tika identificēts ļaunprātīgas izmantošanas iemesls, Acala paziņoja, ka ir identificējusi "maka adreses, kas saņēma kļūdaini kaltu ASV dolāru… ar ķēdes darbības izsekošanu".
Nepareizā konfigurācija kopš tā laika ir novērsta, un ir identificētas maku adreses, kas saņēma kļūdaini izkaltu ASV dolāru, un tiek veikta ķēdes darbības izsekošana saistībā ar šīm adresēm.
2/— Acala (@AcalaNetwork) Augusts 14, 2022
Runājot par iespējamo ietekmi uz plašāku Polkadot ekosistēmu, Analog dibinātājs un galvenais arhitekts Viktors Jangs komentēja, ka
“Es joprojām uzskatu, ka Polkadot infrastruktūra pēc konstrukcijas ir droša… to pašu nevar teikt par Acala Network — lietojumprogrammai specifisku ķēdi, kas pielāgota, lai platformā nodrošinātu likviditāti, saimniecisko darbību un stabilu monētu utilītu.
Manuprāt, mēs turpināsim redzēt vairāk šādu uzbrukumu, jo daudzi dApp izstrādātāji neuzliek pūles, definējot sava koda drošības īpašības. Pat ja viedais līgums tiek pārbaudīts, kods var nebūt drošs.
Pārvaldības sistēma un vadība
Acala tīkls apņemas īstenot kopienas pārvaldības priekšlikumu, lai pieņemtu lēmumu par incidenta risinājumu. Pašlaik Akalā ir Pārvaldības padome, kurā ir piecas adreses.
Saskaņā ar Jēdzienu ceļvedis Akalai “pilnīga demokrātija” joprojām ir “plānošanas” fāzē. 3. fāzes ceļvedis, kas ir gandrīz pabeigts, nosaka:
“Akalas fonda lēmumi par tīklu (izpildlaika jauninājums, uzlabojumi utt.) tiek padarīti pārskatāmi ķēdē, balsojot ieceltā Akalas Ģenerālpadomē.”
Acala ir arī nodrošinājusi demokrātijas elementu, "lai ikviens varētu ierosināt referendumu, noguldot minimālo žetonu daudzumu uz noteiktu laiku". Tomēr “pilnīga demokrātija” ir paredzēta 4. fāzē, kas netiks ieviesta, kamēr nebūs izpildīti tālāk minētie kontrolpunkti.
– Visi DeFi protokoli ir bootstrapped, darbojas ar augstu stabilitāti un drošību saprātīgu laika periodu (lai nodrošinātu protokolu pareizu darbību ārkārtējas tirgus nepastāvības laikā).
– Tīklam ir pietiekams daudzums likviditātes protokolu darbināšanai, un likviditāte ir ilgtspējīga.
– Katram DeFi protokolam ir izveidoti droši un pārskatāmi procesi, kas paredzēti nepārtrauktiem biznesa kā parasti (BAU) uzlabojumiem, piemēram, jaunu tirdzniecības pāru vai jaunu nodrošinājumu pievienošanai.
– Lai turpinātu nodrošināt tīkla un protokolu drošību un drošību, ir noteikti padomnieku eksperti, piemēram, riska novērtētājs, tehniskais novērtētājs utt.
– Acala EVM ir pietiekami attīstīts ar ražošanas līmeņa funkcionalitāti un drošību.
Tāpēc saskaņā ar pašreizējo pārvaldības procesu šķiet, ka Akalas padome joprojām saglabā pārāk lielu tīkla kontroli. Lai gan tas var nebūt lieliski, ņemot vērā protokola decentralizēto raksturu, tas var palīdzēt Acala izšķirtspējas pārvaldībā un “atrisināt USD kļūdu un atjaunot USD piesaisti”.
Rezolūcijas un risinājumi
Lai mazinātu turpmāku risku, Acala paziņoja, ka “parachain vietējie marķieri ir atspējoti”, tāpēc neļaujiet kļūdainajam AUSD atstāt savu vietējo paraķēdi un izplatīties plašākā Polkadotas ekosistēmā.
Rakstīšanas laikā ASV dolāra vērtība ir USD 0.88 par vienu marķieri pēc tam, kad tā nokritās līdz USD 0.09. Šķiet, ka piesaiste ir no USD 0.90 līdz USD 0.80, kas joprojām ir aptuveni 10–20% zem vēlamās piesaistes.
Acala pirmdienas rītā publicēja situācijas atjauninājumu, apstiprinot, ka kaltā USD vērtība ir 1.288 miljardi USD. Tvītā bija iekļauta a foruma ziņa sīki izklāstot “izsekošanas rezultātus”.
Incidenta izsekošanas ziņojums Nr. 1: šī ir pirmā publicētā izsekošanas rezultātu sērija. Ir identificēti 1B kļūdaini kaltie AUSD, un to pārsūtīšana ir atspējota, līdz kļūda tiek novērsta ar neapstiprinātu Acala kopienas pārvaldības lēmumu.
Pavediens zemāk:https://t.co/KazsYLxzqK
— Acala (@AcalaNetwork) Augusts 15, 2022
Acala komanda apstiprināja, ka informāciju tagad var izmantot, lai "pārbaudītu ķēdes datus un formulētu priekšlikumus, lai atrisinātu ASV dolāru kļūdu."
Konkrēts incidenta iemesls ir norādīts foruma ziņojumā.
“2022-08-13 22:41 UTC - iBTC/aUSD pūls tika iedarbināts ar nepareizu konfigurāciju un tika sākta kļūdaina kalve.
“Nepareizas konfigurācijas” dēļ AUST tika kļūdaini kalts, un līdzekļi tika nosūtīti vairākiem LP nodrošinātājiem, kas paredzēti pūlam. Šie līdzekļi pašlaik ir faktiski iesaldēti, kā apstiprināja Acala:
"Apmainītie digitālie aktīvi, kas paliek Acala ķēdē, kopš tā laika ir atspējoti, gaidot Akalas kopienas kolektīvās pārvaldības lēmumu par kļūdu kalšanas novēršanu."
Kopš atjauninājuma izlaišanas notika “Referendums” priekšlikums ir iesniegts. The priekšlikums Preses laikā nav neviena “pret” balsu — tā mērķis ir “efektīvi sadedzināt” kļūdaino AUSD, atgriežot to Honzonas protokolā.
Priekšlikumā ir iekļauts kods, kas nepieciešams, lai pārvietotu līdzekļus uz pseido-sadedzināšanas adresi, un uzskaitītas visas adreses, kas atrodas Acala konstatējumos.
Avots: https://cryptoslate.com/acala-submits-governance-proposal-to-burn-1-28b-ausd-following-investigation-of-exploit/