Acala USD Hack – Polkadot’un Stablecoin Kabusu
Acala Network’ün stablecoin’i aUSD, tek bir güvenlik açığıyla sıfıra yaklaştı. 2022’de yaşanan saldırı, Polkadot ekosistemindeki ilk büyük çöküşlerden birine dönüştü.
Acala, Polkadot’un en büyük parachain’lerinden biri olarak, DeFi altyapısının kalbinde yer almak üzere tasarlanmıştı. Projenin gözbebeği olan aUSD, platformun native stablecoin’i olarak 1 dolara sabit kalmak üzere kurgulanmıştı. Ancak 14 Ağustos 2022 günü, bu sabitlik bir akşamüstü buhar oldu.
İlginizi Çekebilir: Cream Finance Hack – DeFi’de 400 Milyon Dolarlık Kayıp
Saldırı, Liquidity Reward Module adındaki yeni bir akıllı kontratın zincir üstünde aktive edilmesiyle başladı. Bu kontrat, geliştiriciler tarafından kısa süre önce dağıtılmıştı ve kullanıcılara ek ödül sağlamak amacıyla tasarlanmıştı. Fakat içinde ölümcül bir hata vardı: Kullanıcı doğrulaması içermeyen bir mint fonksiyonu.
Bir saldırgan (veya bir grup), bu fonksiyonun açık olduğunu fark etti. Saniyeler içinde yüzlerce işlemle sistemden 1.288 milyar aUSD bastı. Gerçek değeri olmayan bu token’lar zincir üstünde dolaşıma girdi. Dolaşımda olması gereken aUSD miktarı ise sadece birkaç milyondu.
Bu büyük arz şoku sonucu aUSD'nin fiyatı 1 dolardan 0.01 dolara kadar düştü. Acala’nın merkeziyetsiz yapısı nedeniyle sistem durdurulamadı. Topluluk panikledi, bazı kullanıcılar ellerindeki aUSD’yi ellerinden çıkarmaya çalışırken büyük zarara uğradı.
Acala ekibi, durumun ciddiyetini hızla fark etti ve Polkadot ağının özelliklerinden yararlanarak zincir üstü müdahale başlattı. Oylama yoluyla hatalı basılan token’ların bir kısmı donduruldu, bazıları ise sistemden yakıldı. Ancak saldırganlar yaklaşık 3 milyon dolarlık zararı geri döndürülemez şekilde dış cüzdanlara taşımayı başardı.
Bu olay, “merkeziyetsizlik” idealine de zarar verdi. Çünkü Acala topluluğu saldırı sonrası zincir parametrelerini doğrudan değiştirdi ve bazı cüzdanları kara listeye aldı. Bu durum, “merkeziyetsiz ama müdahale edilebilir” sistem tartışmalarını da beraberinde getirdi.
aUSD çöküşü, Polkadot ekosistemi için ilk büyük krizdi. Olay sonrası aUSD'nin sabitliği bir daha asla tamamen toparlanamadı. Acala’nın itibarında kalıcı hasar oluştu, yatırımcı güveni büyük ölçüde kayboldu.
Bu vaka, yalnızca bir hata yüzünden milyar dolarlık stablecoin’lerin nasıl sıfırlanabileceğini gösterdi. Daha da önemlisi, denetlenmeden dağıtılan bir akıllı kontratın, bir protokolün yıllarca inşa ettiği güveni birkaç dakikada yerle bir edebileceğini ispatladı.