Este fin de semana la noticia que sacudió el mercado de los criptoactivos ha sido el ciberataque a la red DeFi basada en Polkadot, Acala Network y su stablecoin aUSD, que tras el exploit de los ciberdelicuentes, pudieron emitir más de mil millones de tokens aUSD.
Acala Network, es una red que emite aUSD como su stablecoin nativa algorítmica, la cual es descentralizada y está colaterizada con otros criptoactivos y acuñada a través de posiciones de deuda garantizada (CDP), como lo es TerraUSD de Luna.
Esta stablecoin, se había constituido como una de los principales criptoactivos estables que estaba en la mira de los inversores para resguardar valor, o como una alternativa al dinero fiduciario, sobre todo, por la solidez y popularidad del ecosistema Polkadot, que ha venido en aumento en el último año.
Durante su desarrollo, los fundadores de Acala, una red financiera descentralizada y el centro de liquidez, evaluaron varias redes como Ethereum, ETH2 y Cosmos para la implementación de su stablecoin aUSD, para al final decantarse por Polkadot.
Básicamente, Acala es una plataforma de contrato inteligente de Capa 1 que es escalable. Además, esta red es compatible, con Ethereum y está optimizada para ser utilizada en gran cantidad de servicios DeFi, gracias a su liquidez incorporada y aplicaciones financieras listas para usar.
aUSD posee su propia cadena de bloques específica para respaldar su token, conectada a Polkadot, la cual a su vez, posee la capacidad de conectar múltiples cadenas de bloques o parachains especializadas en una sola red unificada.
Hemos notado un problema de configuración del protocolo Honzon que afecta a aUSD. Estamos aprobando una votación urgente para detener las operaciones en Acala, mientras investigamos y mitigamos el problema. Informaremos cuando volvamos a la operación normal de la red.
— Acala Network Español (@AcalaNetworkEs) August 14, 2022
De acuerdo a lo informado por el equipo de Acala, los ciberdelincuentes, atacaron un pool que había sido lanzado apenas el día anterior. El pool iBTC/aUSD fue vulnerado por lo que han denominado desde el protocolo cómo una “configuración errónea”.
El iBTC es una versión descentralizada (para la Blockchain de Polkadot) del Wrapped Bitcoin (wBTC) de Ethereum. Este tipo de token permite representar el valor del activo en una cadena, y está respaldado 1:1 con bitcoin (BTC).
Acala utiliza Honzon Fungibility Pallet para hacer que $aUSD sea fungible entre #Acala y #Karura. Este protocolo se creo con la intención de permitir que aUSD sirva como moneda estable nativa y puente de líquidez en el ecosistema multicadena de Polkadot y #Kusama.
— Acala Network Español (@AcalaNetworkEs) August 14, 2022
El objetivo de este pool iBTC/aUSD, era convertir aUSD en el puente de liquidez entre Polkadot y Kusama, por lo que el pasado 10 de agosto, se anuncio el lanzamiento de un pool de liquidez iBTC/aUSD en la red de Acala.
Tan sólo un día después de su lanzamiento, los ciberatacantes, lograron identificar un “fallo de configuración” (no especificado por el equipo de Acala), el cual permitió acuñar por error 1,053,707,817 aUSD.
Obviamente, tras el exploit en el puente y la generación de estos más de mil millones de aUSD, se perdió el peg o la paridad con el dólar, por lo que su uso como stablecoin se vio comprometido por la pérdida de valor de aUSD, dejando a muchos inversores preocupados, que observaron el token ($ACA) hundirse un 99% a primera hora de este domingo.
Hasta ahora se ha impedido que la billetera mueva los fondos.
— Acala Network Español (@AcalaNetworkEs) August 14, 2022
Somos Polkadot, somos Acala Network.
Confianza.🅰️
Sin embargo, aunque aUSD llegó a niveles críticos, en pocas horas pudo recuperar en gran parte su paridad con el dólar, para llegar a cotizar por encima de los 0.9036 dólares en este momento, tras haberse tomado las medidas necesarias para que los ciberdelincuentes no se hicieran con la bolsa de 1.200 millones de dólares.
Del análisis del ataque, se determinó que los ciberdelincuentes vincularon una cuenta de Ethereum a Acala, que fue proporcionada por el Exchange Binance, mostrando su intención de intercambiar los tokens aUSD a otra criptomoneda.
ACALA protocol is currently under compromised. Apparently there was a bug in the iBTC/AUSD pool and attacker wallet now holds over a billion $AUSD. We are monitoring. (AUSD is not listed on Binance) https://t.co/jRHmqLYeI8
— CZ 🔶 Binance (@cz_binance) August 14, 2022
Pero, el CEO de Binance, Changpeng Zhao, salió al paso advirtiendo que aUSD no estaba listada en el Exchange y que monitoreaban la operación. Hasta ahora, este ha sido calificado el mayor ciberataque de la historia en una DeFi.
Y es que tanto Polkadot como Kusama pueden alcanzar hasta un millón de transacciones por segundo (TPS) de capacidad, por lo que el daño pudo haber sido mayor, de no haber actuado rápido el equipo de Acala para contener este fallo.
A pesar del ataque, existen varios niveles de contención incluyendo la red Acala y la de Polkadot. Vale recordar que Polkadot posee un mecanismo de consenso de participación, denominado Prueba de participación nominada (NPoS).
Este permite que los dos tipos de actores de la red (validadores y nominadores) aseguren su funcionamiento, pues los tenedores del token DOT, tienen la tarea de validar las transacciones entre parachains, que son las cadenas de bloques independientes alojadas en la red de Polkadot.
Ahora la pregunta que se hacen muchos es cómo, si Polkadot posee a Kusama, una red “hermana” segura que funciona como red de pruebas; no se detectó dicha vulnerabilidad antes de haberse lanzado el pool iBTC/aUSD.
No obstante, gracias a la intervención del equipo de la red Acala, se detuvieron las funciones de intercambio, para evitar que los atacantes sacaran el dinero de la parachain, en espera de la votación de la red de gobernanza para decidir colectivamente sobre los próximos pasos.
Afortunadamente, la red Acala, puede recibir actualizaciones y realizar cambios drásticos, sin tener que realizar bifurcaciones a la cadena original, como ocurrió con Ethereum en su momento, que tras un ataque, se bifurcó la cadena generando en el proceso, la red Ethereum (ETH) que conocemos hoy día y la red Ethereum Classic (ETC), que es la original.
Esta ha sido la segunda DeFi en ser atacada este mes, tras el ciberataque contra el bridge de criptomonedas Nomad que se efectuó el 1 de agosto y que derivó en la pérdida de casi 200 millones de dólares, por lo que las DeFi, están en la mira de los ciberdelincuentes.