Gli hacker hanno sfruttato una scappatoia nel pool di liquidità iBTC/aUSD appena creato di Acala per rubare milioni di dollari di token il 14 agosto 2022, costringendo la stablecoin aUSD a perdere il suo ancoraggio con l'USD. Da allora il team di Acala ha disabilitato la funzione di trasferimento dei token sulla piattaforma, tra reazioni contrastanti e critiche da parte dei sostenitori del decentramento.
Sfruttata la piattaforma Acala DeFi di Polkadot
Acala Network, l'hub di finanza decentralizzata (DeFi) dell'ecosistema Polkadot, è l'ultimo protocollo blockchain per essere sfruttato da cattivi attori.
Il 14 agosto 2022, il team di Acala si è rivolto a Twitter per rivelare di aver scoperto un bug di configurazione nel suo protocollo Honzon e stava pianificando di risolvere il problema.
“Abbiamo notato un problema di configurazione del protocollo Honzon che interessa aUSD. Stiamo approvando una votazione urgente per sospendere le operazioni su Acala, mentre indaghiamo e mitighiamo il problema. Riporteremo il rapporto quando torneremo al normale funzionamento della rete", ha twittato Acala
Tuttavia, il team di Acala non è riuscito ad affrontare il problema in tempo, poiché diversi hacker hanno approfittato della scappatoia per rubare almeno 1 miliardo di dollari americani, che è la stablecoin nativa di Acala Network.
Secondo un tweet di @alice_und_bob, diversi utenti del protocollo Acala hanno tratto vantaggio dalla situazione, con alcuni bot che hanno trasferito con successo alcuni degli aUSD coniati erroneamente da Acala.
"Mentre tutta l'attenzione era rivolta all'unico utente che ha coniato 1.2 miliardi di $ aUSD, allo stesso tempo, una manciata di altri utenti ha sfruttato la situazione (a) inviando $ aUSD a Moonbeam, (b) scambiandolo con $ DOT e inviandolo a Polkadot © scambiandolo con $iBTC e inviandolo a Interlay", ha osservato.
L'attacco ha fatto perdere alla stablecoin aUSD il suo ancoraggio al dollaro USA, scambiato a 0.009$ al momento della stesura.
aTrasferimenti in USD interrotti
Per un update rilasciato dal team di Acala il 15 agosto 2022, ha identificato con successo i portafogli che detengono un totale di 1.288 miliardi di stablecoin aUSD coniate "erroneamente" e ha disabilitato la funzione di trasferimento dei token "finché una decisione di governance della comunità di Acala in sospeso non risolve l'errore".
Acala ha esortato i membri della sua comunità a utilizzare tutte le informazioni dell'exploit per formulare proposte di governance per risolvere il problema, chiarendo anche che sta collaborando con i suoi "partner e contributori per tracciare i deflussi di transazioni relative a USD coniate erroneamente".
Il team ha esortato i destinatari dell'aUSD coniato erroneamente, così come coloro che hanno scambiato la stablecoin con altri token, a restituire i fondi a questi indirizzi di seguito:
Pois (DOT): 13YMK2eYoAvStnzReuxBjMrAvPXmmdsURwZvc62PrdXimbNy
Raggio di luna: 0x7369626cd0070000000000000000000000000000
In effetti, questo incidente ha evidenziato ancora una volta l'importanza di audit e test approfonditi prima di lanciare soluzioni DeFi. Gli hack e le rapine continuano a essere un grave inconveniente per i protocolli blockchain e l'industria vedrà la completa adozione mainstream solo se questi scenari diventeranno un ricordo del passato.
Al momento della stampa, il token DOT nativo di Polkadot è l'undicesima criptovaluta più grande al mondo. Il prezzo di DOT si aggira intorno a $ 11, con una capitalizzazione di mercato di $ 8.88 miliardi.
Fonte: https://crypto.news/polkadot-acalas-ibtc-ausd-liquidity-pool-bug-exploited-by-hackers/