Merkezi olmayan finans platformu Acala Cumartesi günü saldırıya uğradığında ve faillerin teknik olarak 3 milyar dolarlık aUSD stabilcoinlerini basmasına izin verdiğinde, sorulması gereken doğal bir soru şuydu: Acala kodlarını denetlemedi mi?
Evet, Polkadot tabanlı protokol kesinlikle yaptı. Ancak istismar, Acala’nın likidite havuzlarından birinde – kripto para birimlerinin geleneksel bir sipariş defteri yerine bir matematik denklemine göre değiştirildiği merkezi olmayan borsaların (DEX’ler) omurgası – tamamen başka bir projeden, Honzon protokolünden kaynaklanan bir yanlış yapılandırma içeriyordu. Bu da 3,02 milyar yeni aUSD istikrarlı parasının yaratılmasına izin verdi ve bu da fiyatlarını hedeflenen 1 dolardan önemli ölçüde aşağı çekti.
“Honzon protokolünün kapsamlı bir incelemesini yapmadık. Trail of Bits yazılım güvencesi uygulamasının başkan yardımcısı Nick Selby, CoinDesk ile yaptığı röportajda, belirlediğimiz sorunları tam olarak araştırmak için ek incelemelerin gerekli olduğunu o sırada belirtmiştik. Bu şirket, geçen yıl Acala’nın akıllı sözleşmelerini denetleyen birkaç firmadan biriydi.
Acala’nın kurucu ortağı ve CTO’su Bryan Chen, CoinDesk’e yaptığı açıklamada, Trail of Bits dışında birçok üst düzey denetim firması ile birden fazla denetim yapıldığını açıkladı. Böyle bir firma, bir siber güvenlik danışmanlığı ve araştırma şirketi olan Security Research Labs (SRLabs) idi.
Chen, “aUSD hata darphanelerinde yer alan tüm kodlar, birkaç kez denetlenmiş ve ayrıca Kusama’daki kanarya ağımız Karura’da test edilmiş olgun kodlardı” dedi. (Kusama, Polkadot ile ilgili projeler için deneysel bir geliştirme ortamıdır.)
Acala’nın kurucu ortağı ve CEO’su Bette Chen de denetimlerin yanlış parametre yapılandırmalarını tespit etmediğini vurgulayarak duruma biraz açıklık getirdi.
“Parametre yapılandırması bir kod değişikliğinin parçası değildir. Örneğin, tasfiye oranı değiştirildiğinde yeni bir denetim gerekmez; bir yönetişim oyu parametreleri güncelleyebilir. Ancak kodun kendisi yanlış yapılandırmayı önlemeliydi. CoinDesk’e yaptığı açıklamada, iç ve dış denetimler tarafından alınmadı” dedi.
Başka bir deyişle, protokol kodunun parametre yapılandırmasındaki hatayı yakalaması gerekirdi – ama yakalamadı.
Devamını oku: Kriptoda Temel Katman Güvenliği Yeterli Değildir
Yanlışlıkla basılan 3,02 milyar ABD dolarının yaklaşık 2,97 milyarı daha sonra geri alındı ve acil bir yönetim oylamasından sonra yaklaşık 1,29 milyar ABD doları yakıldı. Geriye kalan 1,7 milyar USD’lik “hata darphanesi”nin (hatalı basılmış tokenlar) transferi durduruldu ve Acala topluluğu şu anda kalan fonlarla ne yapacağına karar veriyor. İşte her şey nasıl çözüldü.
iBTC/aUSD likidite havuzu
Merkezi olmayan bir stabilcoin ağı olan Interlay, kısa süre önce sarılmış bir bitcoin jetonu olan InterBTC’yi (iBTC) piyasaya sürdü. Sarılmış jetonlar, üzerinde bulundukları blok zincirlerine özgü olmayan kripto varlıklarının sentetik (veya jetonlaştırılmış) versiyonlarıdır. Bu iBTC tokenleri iki Polkadot DeFi platformunda giriş yaptı: Acala ve Moonbean.
Devamını oku: Likidite Havuzları Nelerdir?
4 Ağustos’ta Acala, bir iBTC/aUSD likidite havuzunu duyurdu. Havuz, 13 Ağustos civarında piyasaya sürülecek şekilde ayarlandı. Acala topluluğunun üyeleri, likidite oluşturmak için havuza iBTC ve aUSD katkıda bulunmaya teşvik edildi. Bu likidite sağlayıcıları daha sonra interlay (INTR) ve acala (ACA) jetonları ile ödüllendirilecektir.
‘Hata darphaneleri’ saldırısı
iBTC/aUSD likidite havuzu, planlandığı şekilde 13 Ağustos’ta başlatıldı. Kısa bir süre sonra, hata darphaneleri başlatıldı. Temel neden, ödülleri INTR ve ACA yerine USD cinsinden dağıtan bir protokol yanlış yapılandırmasıydı.
Birkaç dakika içinde, bir Acala katılımcısı etkinliği aldı ve topluluğa bildirdi. Kısa bir süre sonra, Acala topluluğu, Acala’nın DEX protokolü olan Acala Swap’ın durdurulmasına izin veren bir yönetim oylaması yaptı.
Daha fazla araştırma, Honzon protokolünün yanlış yapılandırmasının, hata darphanelerinin temel nedeni olduğunu ortaya çıkardı. Müteakip oylamalar yapıldı ve Honzon’u duraklatmak ve nihayetinde durumu düzeltmek için bir anlaşmayla sonuçlandı.
Bir stabilcoin olarak USD, tipik olarak ABD doları ile yaklaşık 1:1 oranında işlem görür. Saldırıdan sonra USD’nin değeri yaklaşık 1,03$’dan 0,009$’a düştü.
Devamını oku: DeFi Platform Acala’nın Stabilcoin’i, Hackerların 1.3B Token Vermesinden Sonra %99 Düştü
Suçluları takip etme
15 Ağustos’a kadar Acala, darphane ile ilgili tüm hatalı işlemleri 16 cüzdana kadar takip etmişti. Bu cüzdanlardaki toplam USD miktarının başlangıçta 1,29 milyar civarında olduğu tahmin ediliyordu. iBTC/aUSD ödül havuzunda ek 4,3 milyon talep edilmedi.
İki gün sonra, 17 Ağustos’ta Acala topluluğu ikinci bir işlem izleme analizi gerçekleştirdi. Likidite sağlayıcıları tarafından toplam 3,022 milyar ABD dolarının (başlangıçta tahmin edildiği gibi 1,29 milyar değil) yanlışlıkla basıldığını ve talep edildiğini (ödül parası olarak) keşfettiler. Neyse ki, ek olarak 1,68 milyar ABD doları geri kazanıldı ve toplam geri kazanılan fonlar toplam 3,02 milyarın 2,97 milyarına ulaştı.
Topluluk, 15 Ağustos’ta kurtarılan 1,29 milyar ABD Doları’nı yakmak için bir referandumu geçti. Bu, şu anda yaklaşık 0,80 ABD doları seviyesinde bulunan token’ın sabitlenmesini kısmen restore etti. Kalan 1,68 milyar USD’yi yakmak için 20 Ağustos’ta başka bir yönetim oylaması yapıldı.
Acala istismarından sonra
Acala, para basma güvenlik açığının kaynağı olarak aUSD Honzon likidite havuzu protokolünü açıkça belirledi. Söz konusu havuzda USD ile eşlenen varlık, iBTC etkilenmedi, kodu da sorunun bir parçası değildi. Interlay (iBTC’nin yaratıcısı) kendisini fiyaskodan uzaklaştırdı.
“Düzeltilmesi gereken önemli bir şey var – bu bir iBTC saldırısı değildi… Interlay/iBTC’den ödün verilmedi. Olay, bir ağ olarak Interlay’i veya bir ürün olarak iBTC’yi hiçbir şekilde tehlikeye atmadı. Interlay’in kurucu ortağı ve CEO’su Alexei Zamyatin, bir CoinDesk röportajında söyledi, tüm sistem operasyonları tamamen işlevsel oldu ve öyle kalmaya devam ediyor.
Acala’nın darphanelerinin tam kapsamı hala araştırılıyor. Bette Chen yaptığı açıklamada şunları söyledi:
“16 cüzdan adresi tarafından hatalı olarak basılan bir USD’yi izlemek için ortaklarımız ve katkıda bulunanlarla çalışmaya devam ediyoruz. Sonuçlar şeffaf bir şekilde yayınlanmaya devam edecek ve topluluk, hatalı bir şekilde basılan USD’yi çözmek için toplu olarak teklifler formüle etmeye devam edebilir. Herkesin sabrını ve desteğini çok takdir ediyoruz.”
