Acala Network bị khai thác lỗ hổng, aUSD đột ngột mất “peg”
Acala đã trở thành giao thức DeFi mới nhất bị tấn công khi tin tặc khai thác 1,2 tỷ aUSD.
Trung tâm tài chính phi tập trung (DeFi) của Polkadot, Acala đã phải chịu một cuộc tấn công lớn vào bể thanh khoản mới ra mắt vào Chủ nhật (14/08). Việc khai thác gây thất thoát hơn 1,2 tỷ aUSD – stablecoin của dự án.
Ngay sau vụ hack, nhóm Acala đã cập nhật với người dùng trên Twitter, lưu ý rằng việc khai thác lỗ hổng bắt nguồn từ “cấu hình sai của bể thanh khoản iBTC/aUSD”. Theo dự án, cấu hình sai hiện đã được sửa chữa.
Acala đình chỉ các hoạt động on-chain
Dữ liệu on-chain tiết lộ rằng hầu hết các stablecoin được khai thác vẫn nằm trong tài khoản Acala. Kẻ tấn công đã trao đổi một phần nhỏ của stablecoin cho token gốc ACA của Acala và 4 mã thông báo khác. Vào thời điểm viết bài, tài khoản đang nắm giữ khoảng 1,27 tỷ aUSD, chiếm hơn 99% số token được đúc.
Mặc dù cộng đồng Acala vẫn chưa đưa ra quyết định cuối cùng về vụ việc, nhóm nghiên cứu lưu ý rằng họ đã tạm ngưng các tài khoản liên quan đến việc chuyển các mã thông báo.
Theo dự án, các hoạt động trên chuỗi như hoán đổi (swap) cũng đã bị tạm dừng đối với những người dùng khác cho đến khi có thông báo mới. Giao thức cũng lưu ý rằng pallet oracle cũng đã bị tạm ngưng, vì vậy người dùng không phải lo lắng về việc buộc phải thanh lý.
Trong khi đó, aUSD, đồng stablecoin đầu tiên trên Polkadot, đã phản ứng tiêu cực với vụ việc và mất giá tương đương USD. Sau khi giảm gần 50% xuống mức giá giao dịch là 0,57 USD, stablecoin đang giao dịch ở mức 0,89 USD vào thời điểm viết bài.
Cuộc tấn công của Acala có thể không phải là kết thúc
Mặc dù Acala đã khắc phục sự cố cấu hình sai trong nhóm của mình, nhưng sự cố đã làm tăng thêm số lượng các ứng dụng phi tập trung (Dapp), trở thành nạn nhân của các tin tặc, những người luôn tìm ra các lỗi trong hợp đồng thông minh để khai thác.
Victor Young, người sáng lập Analog lưu ý rằng Polkadot “an toàn theo thiết kế” nhờ chuỗi chuyển tiếp (relay chain) của nó, nhưng không đảm bảo được cho các parachains.
Ông tuyên bố rằng việc khai thác Dapp như vậy có thể xảy ra trong tương lai nếu các nhà phát triển hợp đồng thông minh không thường xuyên kiểm tra mã của họ.
“Theo quan điểm của tôi, chúng ta sẽ tiếp tục thấy nhiều cuộc tấn công như thế này hơn bởi vì nhiều nhà phát triển Dapp không thực hiện đúng công việc khi xác định các thuộc tính bảo mật của mã. Ngay cả khi hợp đồng thông minh được kiểm toán cũng không thể đảm bảo 100%. Về vấn đề này, các nhà phát triển và chuyên gia QA cần phải liên tục đánh giá để đảm bảo mã đạt được các mục tiêu.” – ông nói.