日曜日、Polkadot の分散型金融 (DeFi) ハブである Acala は、新たに開始されたキャッシュ プールに対する大規模な攻撃を受けました。このエクスプロイトにより、ハッカーはプロジェクトのステーブルコインである 12 億米ドル以上を鋳造することができました。
ハッキングの直後、Acala のチームは Twitter でユーザーを更新し、エクスプロイトが「iBTC / aUSD 流動性プールの設定ミス」に起因することを指摘しました。設計によると、構成ミスは現在修正されています。
この問題は、iBTC / aUSD 流動性プール (本日開始された) の構成ミスであり、大量の aUSD のエラー ティックが発生したことを特定しました。
1 /- アカラ (@AcalaNetwork) 2022 年 8 月 14 日
不動明王はチェーン活動を停止
Onchain のデータによると、鋳造されたステーブルコインのほとんどが依然として Acala アカウントにあることがわかります。攻撃者は、ステーブルコインのごく一部を、Acala のネイティブ ACA トークンと他の 4 つのトークンと交換しました。執筆時点で、アカウントには約 12 億 7000 万米ドルが保持されており、これは発行されたトークンの 99% 以上に相当します。
Acala コミュニティはエクスプロイトについてまだ最終的な決定を下していませんが、チームは、トークンの転送に関与したアカウントを停止したことを指摘しました。
プロジェクトによると、スワップやクロスチェーンメッセージングなどのオンチェーンアクティビティも、追って通知があるまで他のユーザーに対して停止されています。プロトコルは、オラクルパレットも停止されていることを発見したため、ユーザーは強制清算について心配する必要はありません.
一方、Polkadot の最初のステーブルコインである aUSD は、暴落に否定的な反応を示し、米ドルの同等性を失いました。 0.57 ドルの取引価格まで 50% 近く下落した後、このステーブルコインは記事執筆時点で 0.89 ドルで取引されていました。
不動明王の攻撃は終わらないかもしれない
Acala はそのプールの構成ミスを修正しましたが、このインシデントにより、悪用するスマート コントラクトのバグを常に探しているハッカーの犠牲になった分散型アプリケーション (dApps) の数が増えています。
レベル 0 ベースのプルーフ オブ タイム (PoT) プロジェクトである Analog の創設者である Victor Young は、Acala のハッキングについてコメントし、Polkadot はその再送信チェーンのおかげで「設計上安全」であると述べましたが、同じことは言えません。チェーンガード
彼は、スマート コントラクトの開発者がコードを定期的にチェックしなければ、将来、このような dApp のエクスプロイトが発生する可能性があると述べました。
「私の意見では、多くの dApp 開発者がコードのセキュリティ プロパティを定義する努力をしていないため、これらの攻撃は今後も増えるでしょう。スマート コントラクトが検証されたとしても、コードは完全ではない可能性があります。この点で、開発者と QA の専門家は、コードが目標を達成していることを確認するために継続的に評価する必要があります」と彼は言いました。
Polkadot Acala DeFi ハブ エクスプロイトで 12 億ドルを超えるコインが作成されたという投稿は、CryptoPotato で最初に登場しました。