Os hackers exploraram uma brecha no recém-criado pool de liquidez iBTC/aUSD da Acala para roubar milhões de dólares em tokens em 14 de agosto de 2022, forçando a stablecoin aUSD a perder sua paridade com o USD. Desde então, a equipe Acala desativou o recurso de transferência de tokens na plataforma, em meio a reações mistas e críticas dos defensores da descentralização.
Plataforma Acala DeFi da Polkadot explorada
A Acala Network, o hub de finanças descentralizadas (DeFi) do ecossistema Polkadot, é o mais recente protocolo blockchain a ser explorado por maus atores.
Em 14 de agosto de 2022, a equipe Acala foi ao Twitter para revelar que havia descoberto um bug de configuração em seu protocolo Honzon e estava fazendo planos para corrigir o problema.
“Percebemos um problema de configuração do protocolo Honzon que afeta o aUSD. Estamos aprovando uma votação urgente para pausar as operações em Acala, enquanto investigamos e mitigamos o problema. Informaremos quando retornarmos à operação normal da rede”, twittou Acala
No entanto, a equipe Acala não conseguiu resolver o problema a tempo, pois vários hackers aproveitaram a brecha para roubar pelo menos 1 bilhão de aUSD, que é a stablecoin nativa da Acala Network.
De acordo com um tweet de @alice_und_bob, vários usuários do protocolo Acala lucraram com a situação, com alguns bots transferindo com sucesso alguns dos aUSD erroneamente cunhados de Acala.
“Enquanto toda a atenção estava no único usuário que cunhou 1.2 bilhão de $aUSD, ao mesmo tempo, um punhado de outros usuários explorou a situação (a) enviando $aUSD para Moonbeam, (b) trocando por $DOT e enviando-o para Polkadot © trocando por $iBTC e enviando para Interlay”, observou ele.
O ataque fez a stablecoin aUSD perder sua paridade com o dólar americano, sendo negociada a US$ 0.009 no momento da redação deste artigo.
aTransferências de USD interrompidas
Por um atualizar lançado pela equipe Acala em 15 de agosto de 2022, identificou com sucesso as carteiras com um total de 1.288 bilhão de stablecoins aUSD cunhadas 'erroneamente' e desativou a função de transferência de token "até que uma decisão pendente de governança da comunidade Acala resolva o erro".
A Acala pediu aos membros da comunidade que usem todas as informações da exploração para formular propostas de governança para resolver o problema, além de deixar claro que está colaborando com seus “parceiros e contribuidores para rastrear saídas de transações relacionadas ao aUSD incorretamente cunhadas”.
A equipe pediu aos destinatários do aUSD erroneamente cunhado, bem como àqueles que trocaram a stablecoin por outros tokens, a devolver os fundos para esses endereços abaixo:
Polkadot (DOT): 13YMK2eYoAvStnzReuxBjMrAvPXmmdsURwZvc62PrdXimbNy
Moonbeam: 0x7369626cd0070000000000000000000000000000
De fato, esse incidente mais uma vez destacou a importância de uma auditoria e testes completos antes do lançamento das soluções DeFi. Hacks e assaltos continuam a ser uma grande desvantagem para os protocolos blockchain e a indústria só verá a adoção completa do mainstream se esses cenários se tornarem coisa do passado.
Até o momento, o token DOT nativo da Polkadot é a 11ª maior criptomoeda do mundo. O preço do DOT está em torno de US$ 8.88, com um valor de mercado de US$ 9.80 bilhões.
Fonte: https://crypto.news/polkadot-acalas-ibtc-ausd-liquidity-pool-bug-exploited-by-hackers/