Domenica, l'hub di finanza decentralizzata (DeFi) di Polkadot, Acala, ha subito un grave attacco al suo pool di liquidità appena lanciato. L'exploit ha permesso all'hacker di coniare più di 1,2 miliardi di dollari americani, la stablecoin del progetto.
Poco dopo l'hacking, il team di Acala ha aggiornato gli utenti su Twitter, rilevando che l'exploit è originato da una "configurazione errata del pool di liquidità iBTC/aUSD". L'errata configurazione è stata ora rettificata, secondo il progetto.
Abbiamo identificato il problema come una configurazione errata del pool di liquidità iBTC/aUSD (che è stato attivato prima di oggi) che ha provocato zecche di errore di una quantità significativa di aUSD
1/— Acala (@AcalaNetwork) 14 agosto 2022
Acala sospende le attività a catena
I dati di Onchain rivelano che la maggior parte delle stablecoin coniate sono ancora nell'account Acala. L'attaccante ha scambiato una piccola frazione delle stablecoin con il token nativo ACA di Acala e altri quattro token. Al momento in cui scrivo, l'account deteneva circa $ 1,27 miliardi di dollari americani, che rappresentano oltre il 99% dei token coniati.
Mentre la comunità di Acala deve ancora prendere una decisione definitiva sull'exploit, il team ha notato di aver sospeso gli account coinvolti dal trasferimento dei token.
Secondo il progetto, anche le attività on-chain come swap e messaggistica cross-chain sono state interrotte per altri utenti fino a nuovo avviso. Il protocollo ha rilevato che anche il suo pallet oracolo è stato sospeso, quindi gli utenti non devono preoccuparsi della liquidazione forzata.
Nel frattempo, aUSD, la prima stablecoin su Polkadot, ha reagito negativamente all'incidente e ha perso la sua parità USD. Dopo essere scesa di quasi il 50% a un prezzo di scambio di $ 0,57, la stablecoin è stata scambiata a $ 0,89 al momento della stampa.
L'attacco di Acala potrebbe non essere la fine
Sebbene Acala abbia rettificato l'errata configurazione nel suo pool, l'incidente si aggiunge al numero di applicazioni decentralizzate (dApp) che sono cadute vittime degli hacker che cercano sempre i bug degli smart contract da sfruttare.
Victor Young, il fondatore di Analog, un progetto basato sul livello 0, proof-of-time (PoT), ha commentato l'hacking di Acala, osservando che Polkadot è "sicuro dal design" grazie alla sua catena di ritrasmissione, ma lo stesso non può si può dire delle paracatene
Ha affermato che tali exploit di dApp potrebbero verificarsi in futuro se gli sviluppatori di contratti intelligenti non controllano regolarmente i loro codici.
“Secondo me, continueremo a vedere più di questi attacchi perché molti sviluppatori di dApp non si impegnano a definire le proprietà di sicurezza del loro codice. Anche se lo smart contract viene verificato, il codice potrebbe non essere infallibile. A questo proposito, gli sviluppatori e gli esperti di QA devono valutare continuamente per garantire che il codice raggiunga i suoi obiettivi", ha affermato.
Il post Oltre 1,2 miliardi di dollari statunitensi coniato in un exploit dell'hub DeFi di Polkadot Acala è apparso per la prima volta su CryptoPotato .