Plus de 1,2 milliard d’aUSD frappés dans un exploit du DeFi Hub Acala de Polkadot
Dimanche, le centre de financement décentralisé (DeFi) de Polkadot, Acala, a subi une attaque majeure contre son pool de liquidités nouvellement lancé. L’exploit a permis au pirate de frapper plus de 1,2 milliard d’aUSD, le stablecoin du projet.
Peu de temps après le piratage, l’équipe d’Acala a mis à jour les utilisateurs sur Twitter, notant que l’exploit provenait d’une « mauvaise configuration du pool de liquidités iBTC/aUSD ». La mauvaise configuration a maintenant été corrigée, selon le projet.
Nous avons identifié le problème comme une mauvaise configuration du pool de liquidités iBTC/aUSD (qui a été mis en ligne plus tôt dans la journée) qui a entraîné des erreurs de frappe d’un montant important d’aUSD
1/— Acala (@AcalaNetwork) 14 août 2022
Acala suspend ses activités en chaîne
Données en chaîne révèle que la plupart des stablecoins frappés sont toujours dans le compte Acala. L’attaquant a échangé une infime fraction des stablecoins contre le jeton natif ACA d’Acala et quatre autres jetons. Au moment de la rédaction de cet article, le compte détenait environ 1,27 milliard de dollars en aUSD, ce qui représente plus de 99 % des jetons frappés.
Alors que la communauté Acala n’a pas encore pris de décision finale sur l’exploit, l’équipe a noté qu’elle avait suspendu les comptes concernés du transfert des jetons.
Selon le projet, les activités en chaîne telles que les échanges et la messagerie inter-chaînes ont également été interrompues pour les autres utilisateurs jusqu’à nouvel ordre. Le protocole a noté que sa palette oracle était également suspendue, afin que les utilisateurs n’aient pas à s’inquiéter d’une liquidation forcée.
Pendant ce temps, aUSD, le premier stablecoin sur Polkadot, a réagi négativement à l’incident et a perdu sa parité USD. Après avoir chuté de près de 50 % à un prix de négociation de 0,57 $, le stablecoin s’échangeait à 0,89 $ au moment de la publication.
L’attaque d’Acala n’est peut-être pas la fin
Bien qu’Acala ait rectifié la mauvaise configuration dans son pool, l’incident s’ajoute au nombre d’applications décentralisées (dApps) qui ont été victimes de pirates qui recherchent toujours des bogues de contrat intelligents à exploiter.
Victor Young, le fondateur d’Analog, un projet basé sur la couche 0 et la preuve du temps (PoT), a commenté le piratage d’Acala, notant que Polkadot est « sécurisé par conception » en raison de sa chaîne de relais, mais la même chose ne peut pas être dit à propos des parachains
Il a déclaré que de tels exploits dApp pourraient se produire à l’avenir si les développeurs de contrats intelligents ne vérifient pas régulièrement leurs codes.
« À mon avis, nous continuerons à voir davantage de ces attaques car de nombreux développeurs dApp ne font pas le travail de fond lors de la définition des propriétés de sécurité de leur code. Même si le contrat intelligent est audité, le code peut ne pas être infaillible. À cet égard, les développeurs et les experts en assurance qualité doivent évaluer en permanence pour s’assurer que le code atteint ses objectifs », a-t-il déclaré.