利用 Polkadot 的 DeFi Hub Acala 铸造了超过 12 亿美元

Acala 已成为最新的受到攻击的 DeFi 协议，因为黑客凭空捏造了 12 亿美元。

周日，Polkadot 的去中心化金融（DeFi）中心 Acala 对其新推出的流动性池遭受了重大攻击。该漏洞让黑客铸造了超过 12 亿美元，这是该项目的稳定币。 

黑客入侵后不久，Acala 团队在 Twitter 上更新了用户，指出该漏洞源自“iBTC/aUSD 流动性池的错误配置”。根据该项目，错误配置现已得到纠正。 

我们已将该问题确定为 iBTC/aUSD 流动性池（今天早些时候上线）的错误配置，导致大量 aUSD
1/的错误铸币。

— Acala (@AcalaNetwork) 2022 年 8 月 14 日

Acala 暂停链上活动

Onchain 数据显示，大部分铸造的稳定币仍在 Acala 账户中。攻击者将一小部分稳定币换成了 Acala 的原生代币 ACA 和其他四个代币。在撰写本文时，该账户持有价值约 12.7 亿美元的 aUSD，占已铸造代币的 99% 以上。 

虽然 Acala 社区尚未就该漏洞做出最终决定，但该团队指出，它已暂停相关账户转移代币。 

根据该项目，其他用户的链上活动（例如交换和跨链消息传递）也已暂停，直至另行通知。该协议指出，它的预言机托盘也被暂停，因此用户不必担心强制清算。 

与此同时，Polkadot 上的第一个稳定币 aUSD 对该事件做出了负面反应，并失去了美元平价。在下跌近 50% 至 0.57 美元的交易价格后，截至发稿时，稳定币的交易价格为 0.89 美元。

Acala 的攻击可能不会结束

尽管 Acala 已纠正其池中的错误配置，但 该事件增加了去中心化应用程序 (dApp) 的数量，这些应用程序成为黑客的受害者，黑客总是在寻找可利用的智能合约漏洞。 

基于时间证明 (PoT) 的第 0 层项目 Analog 的创始人 Victor Young 评论了 Acala hack，并指出 Polkadot 由于其中继链而“设计安全”，但同样不能关于平行链 

他表示，如果智能合约开发人员不定期检查他们的代码，未来可能会发生此类 dApp 漏洞。 

“在我看来，我们将继续看到更多此类攻击，因为许多 dApp 开发人员在定义其代码的安全属性时并没有投入大量精力。即使智能合约经过审计，代码也未必万无一失。在这方面，开发人员和 QA 专家需要不断评估以确保代码实现其目标，”他说。