مرکز مالی غیرمتمرکز پولکادوت (DeFi) Acala در روز یکشنبه مورد حمله بزرگی به استخر نقدینگی تازه راهاندازی خود قرار گرفت. این اکسپلویت به هکر اجازه می دهد تا بیش از 1.2 میلیارد دلار آمریکا، استیبل کوین پروژه، ضرب کند.
مدت کوتاهی پس از هک، تیم Acala کاربران را در توییتر بهروزرسانی کرد و اشاره کرد که این سوءاستفاده از «پیکربندی نادرست استخر نقدینگی iBTC/aUSD» سرچشمه گرفته است. طبق پروژه، پیکربندی نادرست اکنون اصلاح شده است.
ما این مشکل را بهعنوان پیکربندی نادرست استخر نقدینگی iBTC/aUSD (که اوایل امروز فعال شد) شناسایی کردهایم که منجر به خطای مقدار قابل توجهی دلار آمریکا شد.
1/— Acala (@AcalaNetwork) اوت 14، 2022
Acala فعالیت های زنجیره ای را تعلیق می کند
داده های Onchain نشان می دهد که بیشتر استیبل کوین های ضرب شده هنوز در حساب Acala هستند. مهاجم بخش کوچکی از استیبل کوین ها را با توکن بومی Acala ACA و چهار توکن دیگر مبادله کرد. در زمان نگارش این مقاله، این حساب دارای حدود 1.27 میلیارد دلار دلار آمریکا بود که بیش از 99 درصد از توکن های ضرب شده را نشان می دهد.
در حالی که جامعه Acala هنوز تصمیم نهایی را در مورد این اکسپلویت اتخاذ نکرده است، تیم اشاره کرد که حسابهای مربوط به انتقال توکنها را به حالت تعلیق درآورده است.
بر اساس این پروژه، فعالیت های زنجیره ای مانند مبادله و پیام های زنجیره ای نیز تا اطلاع ثانوی برای سایر کاربران متوقف شده است. این پروتکل خاطرنشان کرد که پالت اوراکل آن نیز به حالت تعلیق درآمده است، بنابراین کاربران نباید نگران انحلال اجباری باشند.
در همین حال، aUSD، اولین استیبل کوین در Polkadot، به این حادثه واکنش منفی نشان داد و برابری USD خود را از دست داد. پس از افت تقریبا 50 درصدی به قیمت معاملاتی 0.57 دلار، استیبل کوین در زمان انتشار 0.89 دلار معامله شد.
حمله آکالا ممکن است پایان نباشد
اگرچه Acala پیکربندی نادرست استخر خود را اصلاح کرده است، این حادثه به تعداد برنامههای غیرمتمرکز (dApps) میافزاید که قربانی هکرهایی شدهاند که همیشه به دنبال اشکالات قراردادهای هوشمند برای بهرهبرداری هستند.
ویکتور یانگ، بنیانگذار آنالوگ، یک پروژه مبتنی بر لایه 0 و اثبات زمان (PoT) در مورد هک Acala اظهار نظر کرد و خاطرنشان کرد که Polkadot به دلیل زنجیره رلهاش «از نظر طراحی ایمن است»، اما نمیتواند مشابه آن باشد. در مورد پاراچین گفته می شود
او اظهار داشت که اگر توسعه دهندگان قراردادهای هوشمند به طور منظم کدهای خود را بررسی نکنند، چنین سوء استفاده های dApp ممکن است در آینده رخ دهد.
به نظر من، ما همچنان شاهد حملات بیشتری خواهیم بود، زیرا بسیاری از توسعهدهندگان dApp هنگام تعریف ویژگیهای امنیتی کدشان کار لازم را انجام نمیدهند. حتی اگر قرارداد هوشمند حسابرسی شود، ممکن است کد بیخطر نباشد. در این راستا، توسعه دهندگان و کارشناسان QA نیاز به ارزیابی مستمر دارند تا اطمینان حاصل شود که کد به اهداف خود می رسد.
100 دلار رایگان بایننس (انحصاری): از این لینک استفاده کنید برای ثبت نام و دریافت 100 دلار هزینه رایگان و 10 درصد تخفیف در ماه اول Binance Futures (قوانین و مقررات).
پیشنهاد ویژه PrimeXBT: از این لینک استفاده کنید برای ثبت نام و وارد کردن کد POTATO50 تا سقف 7,000 دلار در سپرده های خود دریافت کنید.
منبع: https://cryptopotato.com/over-1-2-billion-ausd-minted-in-an-exploit-of-polkadots-defi-hub-acala/