週日,Polkadot 的去中心化金融(DeFi)中心 Acala 對其新推出的現金池遭受了重大攻擊。該漏洞讓黑客鑄造了超過 12 億美元的項目穩定幣。
黑客入侵後不久,Acala 的團隊在 Twitter 上更新了用戶,指出該漏洞源自“iBTC / aUSD 流動性池的錯誤配置”。根據設計,錯誤配置現已得到糾正。
我們已將問題確定為 iBTC / aUSD 流動性池(今天早些時候激活)的錯誤配置,導致大量 aUSD 出現錯誤滴答
1 /- Acala (@AcalaNetwork) 2022 年 8 月 14 日
Acala 暫停連鎖活動
Onchain 的數據顯示,大部分鑄造的穩定幣仍在 Acala 賬戶中。攻擊者將一小部分穩定幣換成了 Acala 的原生 ACA 代幣和其他四個代幣。在撰寫本文時,該賬戶持有約 12.7 億美元,佔所鑄造代幣的 99% 以上。
雖然 Acala 社區尚未就該漏洞做出最終決定,但該團隊指出,他們已暫停涉及代幣轉移的賬戶。
根據該項目,其他用戶的鏈上活動(如交換和跨鏈消息傳遞)也已停止,直至另行通知。協議發現其預言機托盤也已被暫停,因此用戶不必擔心強制清算。
與此同時,波卡上的第一個穩定幣 aUSD 對崩盤做出了負面反應,並失去了美元平價。在下跌近 50% 至 0.57 美元的交易價格後,截至發稿時,穩定幣的交易價格為 0.89 美元。
阿卡拉的進攻可能不是結束
儘管 Acala 已糾正其池中的錯誤配置,但該事件增加了去中心化應用程序 (dApp) 的數量,這些應用程序已成為黑客的受害者,黑客一直在尋找可利用的智能合約漏洞。
基於 0 級的時間證明 (PoT) 項目 Analog 的創始人 Victor Young 評論了黑客攻擊 Acala,並指出 Polkadot 由於其重傳鏈而“設計安全”,但同樣不能說鏈條護罩
他說,如果智能合約開發人員不定期檢查他們的代碼,這種 dApp 漏洞可能會在未來發生。
“在我看來,我們將繼續看到更多此類攻擊,因為許多 dApp 開發人員沒有努力定義其代碼的安全屬性。即使驗證了智能合約,代碼也未必萬無一失。在這方面,開發人員和 QA 專家需要不斷評估,以確保代碼實現其目標,”他說。
Polkadot Acala DeFi hub 漏洞利用創造的超過 12 億美元的帖子首次出現在CryptoPotato上。