Polkadots dezentraler Finanzknotenpunkt (DeFi) Acala wurde am Sonntag Opfer eines schweren Angriffs auf seinen neu eingerichteten Liquiditätspool. Das Exploit ermöglichte es dem Hacker, mehr als 1,2 Milliarden aUSD, den Stablecoin des Projekts, zu prägen.
Kurz nach dem Hack informierte das Acala-Team die Nutzer auf Twitter, dass der Angriff auf eine “Fehlkonfiguration des iBTC/aUSD-Liquiditätspools” zurückzuführen ist. Die Fehlkonfiguration wurde inzwischen behoben, so das Projekt.
Wir haben das Problem als eine Fehlkonfiguration des iBTC/aUSD-Liquiditätspools identifiziert (der heute früh in Betrieb ging), die zu fehlerhaften Mints einer beträchtlichen Menge an aUSD führte
1/
- Acala (@AcalaNetwork) August 14, 2022
Acala setzt On-Chain-Aktivitäten aus
Onchain-Daten zeigt dass sich die meisten der geprägten Stablecoins noch auf dem Acala-Konto befinden. Der Angreifer tauschte einen winzigen Teil der Stablecoins gegen den Acala-eigenen Token ACA und vier weitere Token. Zum Zeitpunkt der Erstellung dieses Artikels befanden sich auf dem Konto aUSD im Wert von etwa 1,27 Milliarden US-Dollar, was mehr als 99 % der geprägten Token entspricht.
Während die Acala-Gemeinschaft noch keine endgültige Entscheidung über den Exploit getroffen hat, stellte das Team fest, dass es die betroffenen Konten für den Transfer der Token gesperrt hat.
Nach Angaben des Projekts wurden On-Chain-Aktivitäten wie Swaps und Cross-Chain-Messaging auch für andere Benutzer bis auf Weiteres gestoppt. Das Protokoll merkte an, dass seine Orakel-Palette ebenfalls ausgesetzt wurde, so dass die Benutzer sich keine Sorgen über eine Zwangsliquidation machen müssen.
Unterdessen wurde aUSD, die erste Stablecoin auf Polkadot, reagierte negativ auf den Vorfall und verlor seine USD-Parität. Nachdem er um fast 50 % auf einen Handelspreis von 0,57 $ gefallen war, wurde der Stablecoin zum Zeitpunkt der Veröffentlichung bei 0,89 $ gehandelt.
Acalas Angriff ist vielleicht nicht das Ende
Acala hat zwar die Fehlkonfiguration in seinem Pool behoben, Der Vorfall reiht sich ein in die Zahl der dezentralen Anwendungen (dApps), die Hackern zum Opfer gefallen sind, die immer auf der Suche nach Smart-Contract-Fehlern sind, die sie ausnutzen können.
Victor Young, der Gründer von Analog, einem Layer-0, Proof-of-Time (PoT)-basierten Projekt, kommentierte den Acala-Hack mit der Bemerkung, dass Polkadot aufgrund seiner Relay-Chain “von Haus aus sicher” sei, was man von Parachains jedoch nicht behaupten könne
Er erklärte, dass solche dApp-Exploits in Zukunft auftreten könnten, wenn die Entwickler von Smart Contracts ihre Codes nicht regelmäßig überprüfen.
“Meiner Meinung nach werden wir weiterhin mehr solcher Angriffe sehen, weil viele dApp-Entwickler bei der Definition der Sicherheitseigenschaften ihres Codes nicht die nötige Arbeit leisten. Selbst wenn der Smart Contract auditiert wird, ist der Code möglicherweise nicht narrensicher. In dieser Hinsicht müssen Entwickler und QA-Experten kontinuierlich evaluieren, um sicherzustellen, dass der Code seine Ziele erreicht”, sagte er.
<script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>