Les pirates ont exploité une faille dans le pool de liquidités iBTC/aUSD nouvellement créé d'Acala pour voler des millions de dollars de jetons le 14 août 2022, forçant le stablecoin aUSD à perdre son ancrage avec l'USD. L'équipe d'Acala a depuis désactivé la fonction de transfert de jetons sur la plate-forme, au milieu des réactions mitigées et des critiques des partisans de la décentralisation.
La plateforme Acala DeFi de Polkadot exploitée
Acala Network, le hub de la finance décentralisée (DeFi) de l'écosystème Polkadot, est le dernier protocole de blockchain à être exploité par de mauvais acteurs.
Le 14 août 2022, l'équipe d'Acala s'est rendue sur Twitter pour révéler qu'elle avait découvert un bogue de configuration dans son protocole Honzon et prévoyait de résoudre le problème.
« Nous avons remarqué un problème de configuration du protocole Honzon qui affecte aUSD. Nous passons un vote urgent pour suspendre les opérations sur Acala, pendant que nous enquêtons et atténuons le problème. Nous ferons rapport lorsque nous reviendrons au fonctionnement normal du réseau », a tweeté Acala
Cependant, l'équipe d'Acala n'a pas réussi à résoudre le problème à temps, car plusieurs pirates ont profité de l'échappatoire pour voler au moins 1 milliard d'USD, qui est le stablecoin natif du réseau Acala.
Selon un tweet de @alice_und_bob, plusieurs utilisateurs du protocole Acala ont profité de la situation, certains bots transférant avec succès quelques-uns des aUSD erronés hors d'Acala.
"Alors que toute l'attention était sur le seul utilisateur qui a frappé 1.2 milliard de dollars aUSD, en même temps, une poignée d'autres utilisateurs ont exploité la situation en (a) envoyant $aUSD à Moonbeam, (b) échangeant contre $ DOT et en l'envoyant à Polkadot © échangeant contre $ iBTC et l'envoyant à Interlay », a-t-il noté.
L'attaque a fait perdre au stablecoin aUSD son ancrage avec le dollar américain, se négociant à 0.009 $ au moment de la rédaction.
Transferts aUSD interrompus
Par an Mise à jour publié par l'équipe d'Acala le 15 août 2022, il a identifié avec succès les portefeuilles contenant un total de 1.288 milliard de stablecoins aUSD frappés "par erreur" et a désactivé la fonction de transfert de jetons "jusqu'à ce qu'une décision de gouvernance communautaire en attente d'Acala résolve l'erreur".
Acala a exhorté les membres de sa communauté à utiliser toutes les informations de l'exploit pour formuler des propositions de gouvernance afin de résoudre le problème, tout en précisant qu'il collabore avec ses "partenaires et contributeurs pour retracer les sorties de transactions liées à l'aUSD erronées".
L'équipe a exhorté les destinataires de l'aUSD frappé par erreur, ainsi que ceux qui ont échangé le stablecoin contre d'autres jetons à retourner les fonds aux adresses ci-dessous :
Polkadot (POINT): 13YMK2eYoAvStnzReuxBjMrAvPXmmdsURwZvc62PrdXimbNy
Rayon de lune: 0x7369626cd0070000000000000000000000000000
En effet, cet incident a une fois de plus souligné l'importance d'un audit et de tests approfondis avant de lancer des solutions DeFi. Les hacks et les cambriolages continuent d'être un inconvénient majeur pour les protocoles de blockchain et l'industrie ne verra une adoption généralisée complète que si ces scénarios deviennent une chose du passé.
Au moment de mettre sous presse, le jeton DOT natif de Polkadot est la 11e plus grande crypto-monnaie au monde. Le prix du DOT oscille autour de 8.88 dollars, avec une capitalisation boursière de 9.80 milliards de dollars.
Source : https://crypto.news/polkadot-acalas-ibtc-ausd-liquidity-pool-bug-exploited-by-hackers/