Attaque Acala Network – 1,2 milliard de stablecoins aUSD créés à partir de rien

Plus les semaines passent et plus cet été commence à ressembler à un nettoyage par le vide au sein de la DeFi. Et comme ce secteur n’est pas au mieux de sa forme, par rapport à d’autres plus populaires, cette réalité résonne comme une mauvaise nouvelle. Avec une question de la sécurité des réseaux et des protocoles qui devrait peut-être devenir la seule véritable priorité, avant toute excitation spéculative ou technologique. Car les dégâts liés à des attaques résonnent de plus en plus comme un chant du signe, ne serait-ce que compte tenu de l’importance des montants concernés. Une ardoise à laquelle vient de s’ajouter Acala Network et ses plus de 1 milliard de stablecoins aUSD « frappés par erreur ».

Certains voient dans la baisse actuelle de la TVL du secteur de la DeFi un effet de marché lié à la tendance installée depuis des mois. D’autres, une conséquence plus ou moins directe de l’insécurité qui règne, suite aux attaques à répétition qui frappent son écosystème. Quoi qu’il en soit, le montant total bloqué dans cette économie numérique est en chute libre. Avec un curseur qui pointe actuellement à 67,4 milliards de dollars, contre plus de 180 milliards lors de son dernier ATH de la fin 2021 (-62,5% sur cette période).

Et au sein de cette multitude, le réseau Acala (ACA) a tout d’un petit nouveau aux (trop) grandes ambitions. Avec une TVL montée en flèche, depuis son récent lancement, à presque 114 millions de dollars en fin de semaine dernière. Mais un bug dans la matrice qui vient de la faire plonger à 70 millions de dollars, selon les données du site DefiLlama. Le tout en l’espace de moins de 24h. Mais que s’est-il donc passé ? Spoiler Alert : il y a un stablecoin dans l’histoire…

Acala Network – 1 milliard d’aUSD créés « par erreur »

Peut-être que dans quelques années la question sera posée comme une blague de fin de soirée virtuelle dans le métavers, version poule ou l’œuf. Est-ce le protocole ou le hacker qui fait l’attaque DeFi ? Même si, bien évidemment, la mauvaise action reste indéniablement imputable à l’initiateur de cette opération malveillante. Mais cela, la plupart du temps, car une porte était restée entrouverte par l’un des développeurs du projet un peu trop enthousiaste à l’idée de son lancement imminent. Raison pour laquelle il est bien souvent question d’exploitations de failles (exploit) plutôt que de véritables hackings. Mais cela ne change rien pour les utilisateurs, lorsque l’heure d’en subir les conséquences a sonné.

Et dans le cas présent, il s’agit des investisseurs du tout jeune projet Acala Network (ACA), développé sur une parachain du réseau Polkadot (DOT). Un écosystème « décentralisé » sorti de terre en janvier dernier. Avec en son centre le stablecoin aUSD, censé résister à la censure et tout et tout (c’est important pour la suite de cette histoire). Une aventure initiée en avril dernier et dont les premiers mois de fonctionnement semblaient prometteurs. Mais c’était dans compter sur une « mauvaise configuration » en lien avec la possibilité d’en créer de nouvelles unités. Et c’est le drame…

Un graphique presque devenu banal dans le secteur des cryptomonnaies. Avec un cours du stablecoin aUSD passé, en l’espace de quelques heures, de son ancrage au dollar à moins de 0,01$ au moment de la rédaction de cet article. Soit un effondrement de plus de 99% qui fait inévitablement remonter des souvenirs douloureux et encore récents. Tout cela lié à « une mauvaise configuration du pool de liquidités iBTC/aUSD » qui aurait « entraîné des erreurs de frappe d’un montant important d’aUSD ». Et par « important », il fait bien entendre environ 1,2 milliard d’unités…

Acala Network – Gestion d’attaque vs décentralisation

La principale interrogation est donc : doit-on parler de pertes supérieures au milliard de dollars (prix initial de l’aUSD), ou de « seulement » 10 millions de dollars à son cours actuel et effondré (0,01$) ? Question de point de vue. Quoi qu’il en soit, les membres du projet Acala ont décidé de réagir promptement, afin de limiter les conséquences de ce qui est donc une attaque. Et cela en premier lieu en bloquant le portefeuille du hacker, grâce à une procédure de gel des cryptomonnaies aUSD frappées « par erreur » et en plaçant dans le même temps le réseau en mode maintenance. Un peu à la manière de la société Circle qui bénéficie d’une option de gel sur son stablecoin centralisé USDC, dont elle use et abuse à discrétion. Mais… l’aUSD n’était-il pas censé être décentralisé et résistant à la censure ?

« En attendant la décision de la gouvernance collective de la communauté Acala sur la résolution de l’erreur de frappe, ces aUSD créés par erreur restant sur la parachain Acala, ainsi que ces jetons natifs de la parachain Acala échangés, ont été désactivés. »

Acala Network

Et voilà qu’en pleine crise liée à une attaque, le projet Acala Network doit faire face à un second problème d’envergure : les membres de son écosystème. Car sa volonté de protéger ses utilisateurs en bloquant plus de 99% des stablecoins encore présents sur sa parachain est certes tout à fait louable. Mais comment un protocole « décentralisé » peut-il avoir ce pouvoir ? Surtout si l’on considère que cette prise de décision anticipe tout vote communautaire censé être le seul moyen de… prendre ce genre de décision. Oups…

Finance Décentralisée (DeFi)

DAO - L’arnaque de la décentralisation ?

Hugh B. - 05 Juil 2022 - 09:00

La question de la décentralisation fait couler beaucoup d’encre dans le [...]

Lire la suite >>

Car la décentralisation n’est pas une simple option que l’on peut revendiquer ou révoquer à la guise d’un groupe de personne restreint. Et sa mise en place implique de ne plus pouvoir intervenir sur certaines procédures, même (ou surtout) une fois qu’un problème survient. En tout cas pas avant qu’un vote communautaire ne vienne en valider la mise en pratique effective. Et dans le cas présent, il semble que le respect de cette règle soit à la hauteur du code développé pour gérer le stablecoin aUSD !