A stablecoin Acala ($aUSD) do ecossistema Polkadot sofreu uma exploração no fim de semana que levou um ator malicioso a cunhar US$ 1,2 bilhão do nada. A equipe Acala “pausou” as operações por meio de uma proposta de governança emergencial para investigar o problema.
Em 15 de agosto, um proposta de governança foi submetido a “queimar efetivamente” US$ 1,288 bilhão após a divulgação de um relatório on-chain do Acala Council.
US$ 1,2 bilhão de aUSD impressos por um hacker durante a noite e mal um pio na minha linha do tempo.
As coisas parecem mais pessimistas para mim do que o mercado está precificando neste momento específico.
Temos muito trabalho a fazer. https://t.co/HE2MGlXk0d
— Mike 🌪️as (🏌️♂️, ⛳️) (@mdudas) 14 de agosto de 2022
Acala notificou inicialmente os usuários sobre o problema por volta das 3h BST de 14 de agosto, afirmando que eles estavam trabalhando para “mitigar o problema”. A fonte da exploração foi publicamente relatado às 13:00 BST de 14 de agosto, apenas 10 horas depois. O anúncio confirmou que mais de 99% do “aUSD [remained] na parachain Acala.”
Identificamos o problema como uma configuração incorreta do pool de liquidez iBTC/aUSD (que entrou em operação hoje cedo) que resultou em erros de cunhagem de uma quantidade significativa de aUSD
1/— Acala (@AcalaNetwork) 14 de agosto de 2022
Dentro do tópico do Twitter que identificou a causa da exploração, Acala afirmou que havia identificado os “endereços de carteira que receberam o aUSD erroneamente cunhado… com rastreamento de atividade na cadeia” em andamento.
A configuração incorreta já foi corrigida e os endereços de carteira que receberam o aUSD erroneamente cunhado foram identificados, com rastreamento de atividade na cadeia em relação a esses endereços em andamento
2/— Acala (@AcalaNetwork) 14 de agosto de 2022
Em relação ao impacto potencial no ecossistema Polkadot mais amplo, Victor Young, fundador e arquiteto-chefe da Analog, comentou que
“Ainda acredito que a infraestrutura da Polkadot é segura por design… o mesmo não pode ser dito sobre a Acala Network, uma cadeia específica de aplicativos personalizada para fornecer liquidez, atividade econômica e utilidade de moeda estável na plataforma.
Na minha opinião, continuaremos a ver mais desses ataques porque muitos desenvolvedores de dApp não se esforçam ao definir as propriedades de segurança de seu código. Mesmo que o contrato inteligente seja auditado, o código pode não ser infalível.”
Estrutura de governança e liderança
A Rede Acala está se comprometendo com uma proposta de governança comunitária para decidir a resolução do incidente. Atualmente, Acala possui um Conselho de Governança contendo cinco endereços.
De acordo com Roteiro de noção para Acala, a “democracia plena” ainda está em fase de “planejamento”. O roteiro da Fase 3, que está quase completo, afirma:
“As decisões da Acala Foundation em relação à rede (atualização de tempo de execução, melhorias, etc.)
Acala também possibilitou um elemento de democracia “para que qualquer pessoa possa propor um referendo depositando a quantidade mínima de fichas por um determinado período”. No entanto, a “democracia plena” está programada para a Fase 4, que não será implementada até que os pontos de verificação abaixo sejam cumpridos.
– Todos os protocolos DeFi são inicializados, funcionando com alta estabilidade e segurança por um período de tempo razoável (para garantir que os protocolos sejam sólidos durante a extrema volatilidade do mercado).
– A rede tem liquidez suficiente para alimentar os protocolos e a liquidez é sustentável.
– Processos sólidos e transparentes foram configurados para cada protocolo DeFi para melhorias contínuas do Business-as-Usual (BAU), por exemplo, adicionando novos pares de negociação ou novos colaterais.
– Conselheiros especialistas foram identificados, como Avaliador de Risco, Avaliador Técnico, etc., para continuar garantindo a segurança da rede e dos protocolos.
– Acala EVM é suficientemente desenvolvido com funcionalidade e segurança de nível de produção.
Portanto, de acordo com o atual processo de governança, o Conselho Acala ainda parece manter o controle de rede desproporcional. Embora isso possa não ser ótimo para o nível de natureza descentralizada do protocolo, pode ajudar Acala no gerenciamento de resolução e “para resolver o erro de aUSD e restaurar a indexação de aUSD”.
Resoluções e soluções
Para mitigar ainda mais o risco, Acala afirmou que “os tokens nativos de parachain foram desativados para transferência”, portanto, impeça o aUSD errôneo de deixar sua parachain nativa e espalhar o contágio no ecossistema Polkadot mais amplo.
No momento da redação deste artigo, o aUSD está avaliado em US$ 0,88 por token depois de cair para um mínimo de US$ 0,09. O peg parece estar entre US$ 0,90 e US$ 0,80, ainda cerca de 10% – 20% abaixo do peg desejado.
Acala publicou uma atualização da situação na segunda-feira de manhã, confirmando o valor do aUSD cunhado em US$ 1,288 bilhão. O tweet incluiu um postagem no fórum detalhando os “resultados do rastreamento”.
Relatório de rastreamento de incidente nº 1: Este é o primeiro lote publicado de resultados de rastreamento. Os 1.288B aUSD cunhados erroneamente foram identificados e suas transferências são desativadas até que uma decisão pendente de governança da comunidade Acala resolva o erro.
Tópico abaixo:https://t.co/KazsYLxzqK
— Acala (@AcalaNetwork) 15 de agosto de 2022
A equipe Acala confirmou que as informações agora podem ser usadas para “verificar dados na cadeia e formular propostas para resolver o erro de aUSD”.
A causa específica do incidente está marcada na postagem do fórum.
“2022-08-13 22:41 UTC – O pool iBTC/aUSD foi decretado com configuração incorreta e hortelã errônea iniciada.”
A “configuração incorreta” fez com que o aUST fosse cunhado erroneamente e os fundos fossem enviados a vários provedores de LP para o pool. Esses fundos foram efetivamente congelados no momento, como Acala confirmou:
“Os ativos digitais trocados que permanecem na parachain Acala, desde então, foram transferidos desativados até a decisão de governança coletiva da comunidade Acala sobre a resolução do erro de cunhagem.”
Desde que a atualização foi lançada, um “Referenda” proposta foi submetido. o proposta não tem votos “não” até o momento – com o objetivo de “queimar efetivamente” o aUSD errôneo, devolvendo-o ao protocolo Honzon.
A proposta inclui o código necessário para mover os fundos para um endereço pseudo-queima e lista todos os endereços presentes nas descobertas de Acala.
