L'hub finanziario decentralizzato (DeFi) di Polkadot (DOT), Acala, ha subito ieri un grave hacking. Gli aggressori sono riusciti a creare artificialmente 1,2 miliardi di aUSD, la stablecoin del progetto. Vediamo cosa è successo e le prime conseguenze.
Hack di Acala: cosa è successo?
Il protocollo Acala ha avvisato i suoi utenti di un “problema di configurazione” nelle prime ore di domenica, mentre diversi altri attori dell’ecosistema hanno iniziato ad allertare sulla questione. A metà giornata, il protocollo ha confermato che il problema esisteva nel pool di liquidità iBTC/aUSD lanciato di recente, che ha portato a ” zecche errate di un importo significativo in aUSD”.
We have identified the issue as a misconfiguration of the iBTC/aUSD liquidity pool (which went live earlier today) that resulted in error mints of a significant amount of aUSD
— Acala (@AcalaNetwork) August 14, 2022
1/
I criminali potrebbero aver sfruttato la falla per creare artificialmente più di 1,2 miliardi di aUSD, la stablecoin del protocollo. Contrariamente a quanto si legge qua e là, non si tratta di un furto, ma di una creazione di gettoni. Se si tiene conto di questa somma creata artificialmente, si tratta comunque del più grande hack nella storia della DeFi.
La persona avrebbe collegato un conto Ethereum al protocollo Acala e l’indirizzo è stato alimentato tramite la piattaforma di scambio Binance. Acala ha confermato che gli indirizzi collegati a questo hack sono stati congelati. Oltre il 99% dell’importo è bloccato sulla parachain di Acala e non può essere trasferito. Allo stesso tempo il protocollo è stato interrotto:
Meanwhile functions including swap, xcm, honzon-related etc on Acala have been paused via urgent governance votes until further notice; the oracle pallet has also been paused so that users do not need to concern liquidations in between time.
— Acala (@AcalaNetwork) August 14, 2022
7/
Secondo Acala, il problema di configurazione che ha portato all’hack è stato risolto. Ma il danno è già stato fatto e le conseguenze per il progetto si sono fatte sentire.
La stablecoin aUSD crolla dopo l'hack del protocollo Acala
Come hanno sottolineato diversi commentatori, anche se non si tratta di un furto, la quantità di denaro creata artificialmente è colossale, persino per il settore della DeFi. La conseguenza più visibile è stato il catastrofico depeg della stablecoin aUSD, che ieri ha toccato 0,05 dollari. Da allora si è ripresa, ma non è ancora riuscita a riconquistare la parità con il dollaro:
aUSD perde la parità con il dollaro dopo l’hackeraggio di Acala
Anche il prezzo dell’ ACA ha subito un calo significativo, perdendo il 17% in poco più di un giorno. Non ci resta che aspettare e vedere fino a che punto si spingerà l’autunno, man mano che saranno disponibili ulteriori informazioni.
La governance del progetto in questione
Oltre a queste considerazioni di carattere finanziario, diversi membri della comunità crypto hanno espresso preoccupazione per la decentralizzazione del progetto, che è entrato in modalità di manutenzione per bloccare i trasferimenti dei fondi creati:
Very curious to see how $aUSD plays out. My thoughts, based on the little I know, is that it will stabilize because @AcalaNetwork can—with a referendum—freeze transfers by entering maintenance mode, fix the bug, reverse the state of the chain (erase the hack), and restart.
— gbaci (@gbaciX) August 14, 2022
Dovrebbe esserci un voto di governance perché si tratta di finanza "decentralizzata" (DeFi). Se Acala controlla questa decisione a livello centrale, è davvero la DeFi?
Acala ha confermato che il protocollo sta aspettando la decisione della comunità prima di sbloccare questi fondi:
Pending Acala community collective governance decision on resolution of the error minting, these errorneously minted aUSD remaining on Acala parachain along with these swapped Acala parachain native tokens have been transfer disabled.
— Acala (@AcalaNetwork) August 14, 2022
4/
In attesa della decisione di governance collettiva della comunità, [...] gli aUSD che sono stati erroneamente estratti rimanendo sul parachain di Acala, così come i token nativi [...] che sono stati scambiati, sono bloccati e non possono essere trasferiti.
Un futuro incerto per Acala?
Nel frattempo, la comunità sta discutendo. Su Acala Discord, alcuni vogliono che le modifiche siano invertite sulla parachain. Altri ritengono che ciò costituirebbe un precedente negativo per il progetto. Si tratta di un dibattito comune nella comunità delle criptovalute, il cui esempio più famoso è l’hack che ha portato alla creazione di Ethereum (ETH).
Qualunque sia la decisione della comunità di Acala, possiamo già vedere che la fiducia nel protocollo è stata danneggiata da ieri. Questo non è l’unico hacking legato alla DeFi avvenuto di recente. Meno di una settimana fa, anche Curve Finance ha subito un attacco e ha visto sparire 570.000 dollari.
Acala è stato uno dei progetti più seguiti di Polkadot: nel marzo 2022 è riuscito a raccogliere 250 milioni di dollari per promuovere l’adozione della sua stablecoin aUSD. Quindi è uno dei futuri giganti del Polkadot a inciampare.