週日,Polkadot 的去中心化金融(DeFi)中心 Acala 對其新推出的流動性池遭受了重大攻擊。 該漏洞讓黑客鑄造了超過 1.2 億美元,這是該項目的穩定幣。
黑客入侵後不久,Acala 團隊在 Twitter 上更新了用戶,指出該漏洞源自“iBTC/aUSD 流動性池的錯誤配置”。 根據該項目,錯誤配置現已得到糾正。
我們已將此問題確定為 iBTC/aUSD 流動性池(今天早些時候上線)的錯誤配置,導致大量 aUSD 出現錯誤
1/— 阿卡拉 (@AcalaNetwork) 2022 年 8 月 14 日
Acala 暫停鏈上活動
鏈上數據 揭示 大部分鑄造的穩定幣仍在 Acala 賬戶中。 攻擊者將一小部分穩定幣換成了 Acala 的原生代幣 ACA 和其他四個代幣。 在撰寫本文時,該賬戶持有價值約 1.27 億美元的 aUSD,佔已鑄造代幣的 99% 以上。
雖然 Acala 社區尚未就該漏洞做出最終決定,但該團隊指出,它已暫停相關賬戶轉移代幣。
根據該項目,其他用戶的鏈上活動(例如交換和跨鏈消息傳遞)也已暫停,直至另行通知。 該協議指出,它的預言機托盤也被暫停,因此用戶不必擔心強制清算。
同時,aUSD, 第一個穩定幣 在 Polkadot 上,對該事件做出負面反應並失去了美元平價。 在下跌近 50% 至 0.57 美元的交易價格後,截至發稿時,穩定幣的交易價格為 0.89 美元。
Acala 的攻擊可能不會結束
儘管 Acala 已糾正其池中的錯誤配置, 該事件增加了去中心化應用程序(dApps)的數量,這些應用程序成為黑客的受害者,黑客總是在尋找可以利用的智能合約漏洞。
基於時間證明 (PoT) 的第 0 層項目 Analog 的創始人 Victor Young 評論了 Acala hack,指出 Polkadot 因其中繼鏈而“設計安全”,但同樣不能關於平行鏈
他表示,如果智能合約開發人員不定期檢查他們的代碼,未來可能會發生此類 dApp 漏洞。
“在我看來,我們將繼續看到更多此類攻擊,因為許多 dApp 開發人員在定義其代碼的安全屬性時並沒有投入大量精力。 即使智能合約經過審計,代碼也未必萬無一失。 在這方面,開發人員和 QA 專家需要不斷評估以確保代碼實現其目標,”他說。
資料來源:https://cryptopotato.com/over-1-2-billion-ausd-minted-in-an-exploit-of-polkadots-defi-hub-acala/