Por dentro da exploração DeFi de US $ 3 bilhões da plataforma de criptografia da Acala

Quando a plataforma de finanças descentralizadas Acala foi atacada no sábado, permitindo que os criminosos cunhassem o que era tecnicamente US$ 3 bilhões de sua aUSD stablecoins, uma pergunta natural a ser feita era: Acala não auditou seu código?

Sim, o protocolo baseado em Polkadot certamente o fez. Mas a exploração envolveu uma configuração incorreta em um dos pools de liquidez – a espinha dorsal das exchanges descentralizadas (DEXes), onde as criptomoedas são trocadas de acordo com uma equação matemática em vez de um livro de pedidos convencional – que se originam de outro projeto inteiramente, o protocolo Honzon. E isso permitiu que 3,02 bilhões de novas stablecoins aUSD fossem criadas, o que reduziu drasticamente seu preço em relação ao US$ 1 pretendido cada.

“Não realizamos uma revisão exaustiva do protocolo Honzon. Declaramos na época que análises adicionais eram necessárias para investigar completamente os problemas que identificamos”, disse Nick Selby, vice-presidente da prática de garantia de software da Trail of Bits, em entrevista à CoinDesk. Essa empresa foi uma das várias empresas que auditaram os contratos inteligentes da Acala no ano passado.

Em uma declaração à CoinDesk, Bryan Chen, cofundador e CTO da Acala, explicou que várias auditorias foram realizadas com várias empresas de auditoria de primeira linha além da Trail of Bits. Uma dessas empresas foi a Security Research Labs (SRLabs), uma empresa de consultoria e pesquisa de segurança cibernética.

“Todo o código envolvido no erro de aUSD era um código maduro que havia sido auditado várias vezes e também testado em batalha em Karura, nossa rede canário em Kusama”, disse Chen. (Kusama é um ambiente de desenvolvimento experimental para projetos relacionados ao Polkadot.)

Bette Chen, cofundadora e CEO da Acala, também acrescentou alguma clareza à situação, enfatizando que as auditorias não detectam configurações incorretas de parâmetros.

“Uma configuração de parâmetro não faz parte de uma alteração de código. Por exemplo, quando o índice de liquidação é alterado, não há necessidade de nova auditoria; um voto de governança pode atualizar parâmetros. O próprio código, no entanto, deveria ter evitado a configuração incorreta, que é não detectado por auditorias internas e externas”, disse ela em comunicado à CoinDesk.

Em outras palavras, o código do protocolo deveria ter detectado o erro na configuração do parâmetro – mas não o fez.

Consulte Mais informação: Em criptografia, a segurança da camada básica não é suficiente

Cerca de 2,97 bilhões dos 3,02 bilhões de aUSD erroneamente cunhados foram posteriormente recuperados e aproximadamente 1,29 bilhão de aUSD foram queimados após uma votação urgente de governança. A comunidade Acala também votou para queimar os restantes 1,68 bilhão de aUSD em uma votação posterior. Veja como tudo se desenrolou.

Entrelaçamento, uma rede de stablecoin descentralizada, lançou recentemente o InterBTC (iBTC) – um token bitcoin encapsulado. Tokens encapsulados são versões sintéticas (ou tokenizadas) de ativos criptográficos que não são nativos das blockchains em que existem. Esses tokens iBTC foram lançados em duas plataformas Polkadot DeFi: Acala e Raio de lua.

Consulte Mais informação: O que são pools de liquidez?

Em 4 de agosto, Acala anunciado um pool de liquidez iBTC/aUSD. O pool estava programado para ser lançado por volta de 13 de agosto. Os membros da comunidade Acala foram incentivados a contribuir com iBTC e aUSD para o pool para estabelecer liquidez. Esses provedores de liquidez seriam posteriormente recompensados ​​com intercalação (INTR) e acala (ACA) fichas.

O pool de liquidez iBTC/aUSD foi lançado dentro do cronograma em 13 de agosto. Logo depois, os erros foram iniciados. A causa raiz foi uma configuração incorreta do protocolo que distribuiu recompensas em aUSD em vez de INTR e ACA.

Em poucos minutos, um colaborador da Acala percebeu a atividade e notificou a comunidade. Pouco tempo depois, a comunidade Acala realizou uma votação de governança que autorizou a suspensão Troca de Acalaprotocolo DEX de Acala.

Investigações posteriores revelaram a configuração incorreta do protocolo Honzon como a causa raiz dos erros. Votações subsequentes foram realizadas resultando em um acordo para pausar Honzon e, finalmente, retificar a situação.

Como uma stablecoin, o aUSD normalmente é negociado em uma proporção aproximada de 1:1 com o dólar americano. O valor do aUSD caiu de cerca de US$ 1,03 para US$ 0,009 após o ataque.

Consulte Mais informação: Stablecoin da DeFi Platform Acala cai 99% após hackers emitirem tokens 1.3B

Em 15 de agosto, Acala tinha rastreou todas as transações relacionadas ao erro de hortelã para 16 carteiras. A quantidade total de aUSD nessas carteiras foi inicialmente estimada em cerca de 1,29 bilhão. Outros 4,3 milhões permaneceram não reclamados no pool de recompensas iBTC/aUSD.

Dois dias depois, em 17 de agosto, a comunidade Acala realizou uma segunda análise de rastreamento de transações. Eles descobriram que um total de 3,022 bilhões de aUSD (e não 1,29 bilhão como estimado originalmente) foi erroneamente cunhado e reivindicado (como recompensa em dinheiro) por provedores de liquidez. Felizmente, um adicional de 1,68 bilhão de aUSD também foi recuperado, elevando o total de fundos recuperados para 2,97 bilhões do total de 3,02 bilhões.

A comunidade aprovou um referendo para queimar os 1,29 bilhão de aUSD recuperados em 15 de agosto. Isso restaurou parcialmente o peg do token, que atualmente está em cerca de US$ 0,80. Outra votação de governança ocorreu em 20 de agosto para queimar os restantes 1,68 bilhão de aUSD.

Acala identificou claramente o protocolo de pool de liquidez aUSD Honzon como a fonte da vulnerabilidade de cunhagem. O ativo emparelhado com aUSD no pool em questão, o iBTC, não foi afetado, nem seu código fez parte do problema. A Interlay (criadora do iBTC) se distanciou do desastre.

“Há uma coisa importante a esclarecer – não foi um hack do iBTC… Interlay/iBTC não foi comprometido. O incidente não prejudicou a Interlay como rede, nem o iBTC como produto, de forma alguma. Todas as operações do sistema foram e permanecem totalmente funcionais”, Alexei Zamiatin, cofundador e CEO da Interlay, em entrevista à CoinDesk.

A extensão total dos erros da Acala ainda está sendo investigada. Em um comunicado, Bette Chen disse:

“Continuamos a trabalhar com nossos parceiros e colaboradores para rastrear aUSD erroneamente cunhado por 16 endereços de carteira. Os resultados continuarão a ser publicados de forma transparente, e a comunidade pode continuar a formular coletivamente propostas para resolver o aUSD erroneamente cunhado. Agradecemos imensamente a paciência e o apoio de todos.”

ATUALIZAÇÃO (23 de agosto, 9:58 UTC): Corrige a ortografia em Moonbeam no 10º parágrafo.

ATUALIZAÇÃO (23 de agosto, 13:55 UTC): Adiciona uma votação da comunidade realizada no fim de semana no 9º parágrafo.