Acala, la plateforme de finance décentralisée (DeFi) de Polkadot, a subi dimanche une attaque majeure contre sa réserve de liquidités récemment lancée. L’exploit a permis au pirate de frapper plus de 1,2 milliard d’aUSD, la monnaie stable du projet.
Peu après le piratage, l’équipe d’Acala a informé les utilisateurs sur Twitter, en précisant que l’exploit provenait d’une « mauvaise configuration de la réserve de liquidités iBTC/aUSD ». La mauvaise configuration a maintenant été corrigée, selon le projet.
Acala suspend ses activités On-chain
Les données On-chain révèlent que la plupart des stablecoins mintés sont toujours sur le compte Acala. L’attaquant a échangé une petite partie des stablecoins contre le jeton natif d’Acala, ACA, et quatre autres jetons. Au moment de la rédaction de cet article, le compte détenait environ 1,27 milliard de dollars américains, soit plus de 99 % des jetons mintés.
Alors que la communauté Acala doit encore prendre une décision finale sur l’exploit, l’équipe a noté qu’elle avait suspendu les comptes impliqués du transfert des jetons.
Selon le projet, les activités on-chaîne, telles que les échanges et la messagerie cross-chain, ont également été interrompues pour les autres utilisateurs jusqu’à nouvel ordre. Le protocole a noté que sa palette d’oracles a également été suspendue, de sorte que les utilisateurs n’ont pas à s’inquiéter d’une liquidation forcée.
Pendant ce temps, aUSD, le premier stablecoin sur Polkadot, a réagi négativement à l’incident et a perdu sa parité en USD. Après avoir chuté de près de 50 % pour atteindre un cours de 0,57 $, le stablecoin s’échangeait à 0,89 $ au moment de l’impression.
L’attaque d’Acala pourrait ne pas être la fin
Bien qu’Acala ait corrigé la mauvaise configuration de son pool, l’incident vient s’ajouter au nombre d’applications décentralisées (dApps) qui ont été victimes de pirates informatiques toujours à l’affût de bugs de smart contracts à exploiter.
Victor Young, fondateur d’Analog, un projet basé sur la couche 0 et la preuve de temps (PoT), a commenté le piratage d’Acala en faisant remarquer que Polkadot est « sécurisé par conception » grâce à sa chaîne de relais, mais qu’il n’en va pas de même pour les parachains.
Il a déclaré que de tels exploits dApp pourraient se produire à l’avenir si les développeurs de smart contracts ne vérifient pas régulièrement leurs codes.
« À mon avis, nous continuerons à voir davantage de ces attaques parce que de nombreux développeurs de dApp ne font pas le travail de fond lorsqu’ils définissent les propriétés de sécurité de leur code. Même si le smart contract est vérifié, le code peut ne pas être infaillible. À cet égard, les développeurs et les experts en assurance qualité doivent procéder à une évaluation continue pour s’assurer que le code atteint ses objectifs », a-t-il déclaré.