Le protocole Acala a été exploité – Les attaquants créent artificiellement 1,2 milliard de dollars
Le hub de finance décentralisée (DeFi) de Polkadot (DOT), Acala, a subi un hack conséquent dans la journée d’hier. Les attaquants ont pu créer artificiellement 1,2 milliard d’aUSD, le stablecoin du projet. On revient sur ce qu’il s’est passé et les premières conséquences.
le 15 août 2022 à 10:00.
4 minutes de lecture
Hack de Acala : que s’est-il passé ?
Le protocole Acala a alerté ses utilisateurs d’un « problème de configuration » très tôt dans la journée de dimanche, alors que plusieurs autres acteurs de l’écosystème commençaient à alerter sur le sujet. À la mi-journée, le protocole a confirmé que le problème existait sur le tout récent pool de liquidité iBTC/aUSD, ce qui a conduit à « des mints erronés d’un montant significatif en aUSD ».
We have identified the issue as a misconfiguration of the iBTC/aUSD liquidity pool (which went live earlier today) that resulted in error mints of a significant amount of aUSD
1/— Acala (@AcalaNetwork) August 14, 2022
Les malfaiteurs auraient pu exploiter la faille pour créer de manière artificielle plus de 1,2 milliard d’aUSD, le stablecoin du protocole. Attention, contrairement à ce qu’on a pu lire ici et là, il ne s’agit pas d’un vol, mais bien d’une création de tokens. Si l’on prend en compte cette somme artificiellement créée, il s’agit cependant du plus gros hack de l’histoire de la DeFi.
La personne aurait lié un compte Ethereum au protocole Acala, et l’adresse a été alimentée via la plateforme d’échange Binance. Acala a confirmé que les adresses liées à ce hack ont été gelées. Plus de 99% du montant est bloqué sur la parachain d’Acala, et ne peut pas être transféré. Le protocole a dans le même temps été stoppé :
Meanwhile functions including swap, xcm, honzon-related etc on Acala have been paused via urgent governance votes until further notice; the oracle pallet has also been paused so that users do not need to concern liquidations in between time.
7/— Acala (@AcalaNetwork) August 14, 2022
Selon Acala, le problème de configuration qui a mené à ce hack a été résolu depuis. Mais le mal a déjà été fait, et les conséquences pour le projet se sont fait sentir.
? Pour aller plus loin – Qu’est-ce que la DeFi ? Tout savoir sur la finance décentralisée
Le stablecoin aUSD décroche suite au hack du protocole Acala
Comme l’ont souligné plusieurs commentateurs, bien qu’il ne s’agisse pas d’un vol, le montant créé artificiellement est colossal, même pour le secteur de la DeFi. La conséquence la plus visible a été le depeg catastrophique du stablecoin aUSD, qui a touché 0.05 dollar dans la journée d’hier. Il est depuis remonté, mais n’est toujours pas parvenu à retrouver la parité avec le dollar :
Le cours de l’aUSD perd la parité avec le dollar suite au hack d’Acala
De son côté, le cours de l’ACA a lui aussi subi une chute conséquente, perdant -17% en un peu plus d’une journée. Il faudra bien sûr attendre de voir jusqu’où ira cette chute à mesure que de nouvelles informations deviennent disponibles.
? Suivez les cours des cryptomonnaies en direct
Bitpanda : la plateforme idéale pour diversifier ses investissementsLa gouvernance du projet en question
Au-delà de ces considérations financières, plusieurs membres de la communauté crypto se sont inquiétés de la décentralisation du projet, qui est passé en mode de maintenance afin de stopper les transferts des fonds créés :
I think it would have to go to Governance to be "decentralized" finance (DeFi). If Acala centrally controls that decision is this really DeFi?
— Gr33nHatt3R.dot ⭕ (@Gr33nHatt3R) August 14, 2022
« Il faudrait qu’il y ait un vote de gouvernance pour que cela soit de la finance “décentralisée” (DeFi). Si Acala contrôle cette décision de manière centrale, est-ce réellement de la DeFi ? »
Acala a confirmé que le protocole attendait la décision de la communauté avant de débloquer ces fonds :
Pending Acala community collective governance decision on resolution of the error minting, these errorneously minted aUSD remaining on Acala parachain along with these swapped Acala parachain native tokens have been transfer disabled.
4/— Acala (@AcalaNetwork) August 14, 2022
« En attendant la décision collective de gouvernance de la communauté, […] ces aUSD qui ont été mintés de manière erronée restant sur la parachain d’Acala, ainsi que les tokens natifs […] qui ont été échangés sont bloqués et ne peuvent pas être transférés. »
Commander notre Livre pour tout comprendre aux cryptos
Publié aux Éditions Larousse
Un futur incertain pour Acala ?
En attendant, la communauté débat. Sur le Discord d’Acala, certains souhaitent que les changements soient annulés sur la parachain. D’autres considèrent que cela créerait un précédent néfaste pour le projet. C’est un débat courant dans la communauté crypto, l’exemple le plus célèbre étant le hack qui a mené à la création d’Ethereum (ETH).
Quelle que soit la décision de la communauté Acala, on peut déjà voir que la confiance dans le protocole a été endommagée depuis hier. Ce n’est d’ailleurs pas le seul hack lié à la DeFi ayant eu lieu ces derniers temps. Il y a moins d’une semaine, Curve Finance avait lui aussi subi une attaque et vu 570 000 dollars s’envoler.
On rappellera que Acala était un des projets de Polkadot les plus suivis : en mars 2022, il avait réussi à lever 250 millions de dollars pour favoriser l’adoption de son stablecoin aUSD. C’est donc un des futurs géants de Polkadot qui vient de trébucher.
? A lire sur le même sujet – Binance parvient à récupérer 450 000 dollars provenant du hack de Curve Finance
Cryptoast Research : Ne gâchez pas ce bull run, entourez vous d'expertsSource : Acala Network via Twitter - Graphique : TradingView, aUSD/USDT
Recevez un récapitulatif de l'actualité crypto chaque lundi par mail 👌
Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.
Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.
Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.
Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.
Journaliste chez Cryptoast, je suis tombée dans la marmite des cryptomonnaies depuis 2017. Je suis passionnée par les enjeux de décentralisation, de vie privée, et les retentissements globaux de ces nouvelles technologies.
Marine Debelloir
2937 articles
Un hack vous êtes sérieux ??? Faut vous renseigner les gars avant de poster un article comme ça !!! Incompétence