Trung tâm tài chính phi tập trung (DeFi) của Polkadot, Acala, đã phải chịu một cuộc tấn công lớn vào pool thanh khoản mới ra mắt vào Chủ nhật. Việc khai thác lỗi đã cho phép tin tặc đánh cắp hơn 1,2 tỷ aUSD, đồng tiền stabelcoin của dự án.
Ngay sau vụ hack, team Acala đã cập nhật tình hình với người dùng trên Twitter, lưu ý rằng vụ khai thác này bắt nguồn từ “cấu hình sai của nhóm thanh khoản iBTC/aUSD.” Cũng theo dự án, cấu hình sai hiện đã được sửa chữa.
“Chúng tôi đã xác định vấn đề là do định cấu hình sai của nhóm thanh khoản iBTC/aUSD (đã đi vào hoạt động vào sáng sớm ngày hôm nay), dẫn đến lỗi tạo ra một lượng lớn aUSD”
Acala đình chỉ các hoạt động theo chuỗi
Dữ liệu của Onchain tiết lộ rằng hầu hết các stablecoin được khai thác vẫn nằm trong tài khoản Acala. Kẻ tấn công đã hoán đổi một phần nhỏ của stablecoin lấy mã thông báo gốc ACA của Acala và bốn mã thông báo khác. Vào thời điểm viết bài, tài khoản này đang nắm giữ lượng aUSD trị giá 1,27 tỷ USD, chiếm hơn 99% số token đã được đúc.
Trong khi cộng đồng Acala vẫn chưa đưa ra phương án giải quyết cuối cùng về vụ khai thác, nhóm nghiên cứu lưu ý rằng họ đã tạm ngưng các tài khoản liên quan đến việc chuyển các mã thông báo.
Theo dự án, các hoạt động trên chuỗi như hoán đổi và nhắn tin xuyên chuỗi cũng đã bị tạm dừng đối với những người dùng khác cho đến khi có thông báo mới. Giao thức lưu ý rằng oracle pallet của nó cũng đã bị tạm ngưng, vì vậy người dùng không phải lo lắng về việc buộc phải thanh lý.
Trong khi đó, aUSD, đồng tiền ổn định đầu tiên trên Polkadot, đã phản ứng tiêu cực với vụ việc và mất chốt với đồng đô la Mỹ. Sau khi giảm gần 50% xuống mức giá giao dịch là 0,57 USD, stablecoin này hiện đang giao dịch ở mức 0,89 USD vào thời điểm viết bài.
Các cuộc tấn công sẽ còn tiếp diễn
Mặc dù Acala đã khắc phục sự cố định cấu hình sai trong pool của mình, nhưng sự cố cũng đã làm tăng thêm số lượng các ứng dụng phi tập trung (dApp) trở thành nạn nhân của các tin tặc, những kẻ luôn tìm ra các lỗi hợp đồng thông minh để khai thác.
Victor Young, người sáng lập Analog, một dự án dựa trên layer-0, bằng chứng thời gian (PoT), nhận xét về vụ hack Acala, lưu ý rằng Polkadot “an toàn theo thiết kế” do chuỗi chuyển tiếp của nó, nhưng với parachain thì không được như vậy.
Ông tuyên bố rằng việc khai thác dApp như vậy có thể xảy ra trong tương lai nếu các nhà phát triển hợp đồng thông minh không thường xuyên kiểm tra mã của họ.
“Theo quan điểm của tôi, chúng ta sẽ tiếp tục chứng kiến nhiều cuộc tấn công như thế này hơn vì nhiều nhà phát triển dApp không thực hiện đúng quy trình khi xác định các thuộc tính bảo mật của code của họ. Ngay cả khi hợp đồng thông minh được kiểm toán, code vẫn có thể không chống được các chiêu trò. Về vấn đề này, các nhà phát triển và chuyên gia QA cần phải liên tục đánh giá để đảm bảo mã đạt được các mục tiêu của nó”.
Tham gia cộng đồng của chúng tôi để cùng bàn luận và cập nhật những thông tin Crypto mới nhất:
- Cryptory Insights: https://t.me/CryptoryInsights
- Cryptory Global Community: https://t.me/CryptoryCommunity
- Vietnamese Telegram channel: https://t.me/cryptory_vncomm
- Facebook: https://www.facebook.com/CryptoryNetwork
- Twitter: https://twitter.com/CryptoryNetwork