复制成功

分享至

OKX > 快讯 >

Acala 加密平台的 3B 美元 DeFi 漏洞利用

2022.08.23

周六,去中心化金融平台 Acala 遭到攻击,犯罪者得以铸造技术上价值 30 亿美元的aUSD 稳定币,自然要问的问题是:Acala 没有审核他们的代码吗?


是的,基于 Polkadot 的协议确实做到了。但是该漏洞利用涉及 Acala 的一个流动性池中的错误配置——去中心化交易所 (DEXes) 的主干,其中加密货币根据数学方程式而不是传统的订单簿进行交换——这完全源自另一个项目,即 Honzon 协议。这使得 30.2 亿个新的 aUSD 稳定币被创造出来,这使得它们的价格从预期的 1 美元大幅下跌。


“我们没有对 Honzon 协议进行详尽的审查。我们当时表示,需要进行额外的审查才能全面调查我们发现的问题,”Trail of Bits 软件保障实践副总裁 Nick Selby 在接受 CoinDesk 采访时表示。该公司是去年审计 Acala 智能合约的几家公司之一。


Acala 的联合创始人兼首席技术官 Bryan Chen 在给 CoinDesk 的一份声明中解释说,除了 Trail of Bits 之外,还与几家顶级审计公司进行了多次审计。一家这样的公司是安全研究实验室 (SRLabs),一家网络安全咨询和研究公司。


“aUSD 错误铸币厂涉及的所有代码都是经过多次审核的成熟代码,并且还在我们在 Kusama 上的金丝雀网络 Karura 上进行了实战测试,”Chen 说。(Kusama 是 Polkadot 相关项目的实验性开发环境。)


Acala 的联合创始人兼首席执行官 Bette Chen 也通过强调审计不会检测到参数错误配置,从而使情况更加清晰。


“参数配置不是代码更改的一部分。例如,当清算比率发生变化时,不需要新的审计;治理投票可以更新参数。但是,代码本身应该防止错误配置,这是内部和外部审计没有发现,”她在给 CoinDesk 的一份声明中说。


换句话说,协议代码应该在参数配置中发现错误——但它没有。


阅读更多:在加密中,基础层安全性还不够


错误铸造的 30.2 亿美元中约有 29.7 亿美元随后被收回,约 12.9 亿美元在紧急治理投票后被烧毁。剩余 17 亿美元“错误铸币”(错误铸币)的转移已停止,Acala 社区目前正在决定如何处理剩余资金。这就是一切如何解开的。


Interlay是一个去中心化的稳定币网络,最近推出了 InterBTC (iBTC)——一种包装好的比特币代币。包装代币是加密资产的合成(或代币化)版本,它们不是它们所在的区块链的原生版本。这些 iBTC 代币在两个 Polkadot DeFi 平台上首次亮相:Acala 和Moonbean


阅读更多:什么是流动资金池?


8 月 4 日,Acala宣布了 iBTC/aUSD 流动资金池。该池定于 8 月 13 日左右启动。鼓励 Acala 社区的成员向池中贡献 iBTC 和 aUSD,以建立流动性。这些流动性提供者随后将获得 interlay ( INTR ) 和 acala ( ACA ) 代币奖励。


iBTC/aUSD 流动性池于 8 月 13 日如期启动。不久之后,错误铸币厂启动。根本原因是协议配置错误,以 aUSD 而不是 INTR 和 ACA 分配奖励。


几分钟之内,Acala 贡献者就参与了该活动并通知了社区。此后不久,Acala 社区举行了治理投票,授权停止Acala 的 DEX 协议Acala Swap


进一步调查显示,Honzon 协议配置错误是造成错误的根本原因。随后进行的投票导致同意暂停 Honzon 并最终纠正这种情况。


作为一种稳定币,aUSD 通常与美元的交易比例约为 1:1。攻击后,aUSD 的价值从约 1.03 美元跌至 0.009 美元。


阅读更多:黑客发行 1.3B 代币后,DeFi 平台 Acala 的稳定币下跌 99%


截至 8 月 15 日,Acala 已将所有与铸币错误相关的交易追踪到 16 个钱包。这些钱包中的 aUSD 总量最初估计约为 12.9 亿美元。iBTC/aUSD 奖励池中仍有 430 万未领取。


两天后的 8 月 17 日,Acala 社区进行了第二次交易追踪分析。他们发现,流动性提供者错误地铸造了总计 30.22 亿美元(而不是最初估计的 12.9 亿美元)并索取(作为奖励金)。幸运的是,还收回了额外的 16.8 亿澳元,使收回的资金总额达到 30.2 亿美元中的 29.7 亿美元。


社区通过了一项公投,以销毁 8 月 15 日收回的 12.9 亿美元。这部分恢复了代币的挂钩,目前约为 0.80 美元。8 月 20 日进行了另一次治理投票,以销毁剩余的 16.8 亿美元。


Acala 已明确将 aUSD Honzon 流动性池协议确定为铸币漏洞的来源。在有问题的池中与 aUSD 配对的资产 iBTC 没有受到影响,其代码也不是问题的一部分。Interlay(iBTC 的创建者)已经远离了这场灾难。


“有一件重要的事情需要澄清——这不是 iBTC 黑客攻击……Interlay/iBTC 没有受到损害。该事件并没有以任何方式危及作为网络的 Interlay,也没有危及作为产品的 iBTC。所有系统操作都已经并且仍然完全正常运行,” Interlay 的联合创始人兼首席执行官 Alexei Zamyatin 在接受 CoinDesk 采访时表示。


Acala 错误铸币厂的全部范围仍在调查中。Bette Chen在一份声明中说:


“我们将继续与我们的合作伙伴和贡献者合作,追踪 16 个钱包地址错误铸造的 aUSD。结果将继续以透明的方式公布,社区可以继续集体制定解决错误铸造的 aUSD 的提案。我们非常感谢大家的耐心和支持。”

免责声明:数字资产交易涉及重大风险,本资料不应作为投资决策依据,亦不应被解释为从事投资交易的建议。请确保充分了解所涉及的风险并谨慎投资。本站资讯仅提供信息参考,不构成任何投资建议,用户一切投资行为与本站无关。

相关推荐

industry-frontier