Lỗ hổng dẫn đến AUSD mất peg đã được khắc phục?

Vụ hack Acala Network ngày 14/8 đã lấy đi của nền tảng hơn 1 tỷ stablecoin aUSD trong chớp mắt. Giờ đây, điều cộng đồng quan tâm là Acala sẽ xử lý vụ việc ra sao.

aUSD là một stablecoin phi tập trung được thế chấp với một số tài sản mã hóa và mint qua Vị trí Nợ Thế chấp (CDP). Nhờ đó, aUSD duy trì tỷ lệ 1:1 với đồng USD.

Như MarginATM đưa tin (tại đây), sáng ngày 14/8, một hacker đã lợi dụng lỗ hổng trong pool thanh khoản iBTC/aUSD. Sau đó, khoảng 1.2 tỷ aUSD đã bị mint mà không có khoản thế chấp, khiến giá đồng stablecoin depeg mạnh 99% xuống còn dưới 1 cent. Để “chữa cháy” kịp thời, Acala thiết lập chế độ bảo trì, đóng băng số token trên.

Động thái này cũng tạm dừng các tính năng khác như swap (hoán đổi), xcm (giao tiếp cross-chain trên Polkadot) và nguồn cấp dữ liệu oracle cho đến khi có "thông báo mới". Nguồn cấp dữ liệu oracle là dịch vụ của bên thứ ba cung cấp thông tin bên ngoài cho hợp đồng thông minh.

Dù Acala quyết định đổi sang chế độ bảo trì và đóng băng ví tiền của hacker nhằm bảo vệ người dùng và mạng lưới, một số người lại có ý kiến trái chiều. Họ lo ngại điều này sẽ phá vỡ tính “phi tập trung” của nền tảng khi các biện pháp chỉ đến từ đội ngũ phát triển.  

Acala là một trung tâm DeFi cross-chain, phát hành stablecoin aUSD dựa trên blockchain Polkadot (DOT). aUSD được hỗ trợ bởi tiền mã hóa và được cho là có khả năng chống kiểm duyệt. 

Các thành viên cộng đồng chỉ ra việc giao thức có thể đóng băng tiền nhanh chóng đến vậy cho thấy aUSD không thực sự chống kiểm duyệt như quảng bá. Người dùng Twitter Gr33nHatt3R.dot cho rằng các quyết định “nên được bỏ phiếu quản trị mới đúng bản chất phi tập trung”. MercX4 cũng đặt câu hỏi tương tự: “Làm cách nào nền tảng này phi tập trung được khi mọi thứ đều phụ thuộc vào một nhóm nhỏ nhà phát triển?”

Trong khi đó, một thành viên kênh Discord của Acala đề xuất hủy bỏ giao dịch. Ý tưởng này nhanh chóng bị một thành viên khác phản đối do sợ rằng sẽ tạo tiền lệ xấu.

Hiện tại, Acala thông báo lỗ hổng đã được khắc phục. Tuy nhiên, hệ thống vẫn duy trì chế độ bảo trì để ngăn giao dịch token mới. Các ví vô tình mua aUSD cũng đã được xác định. Do 99% số tiền đó vẫn còn ở trên Acala, cộng đồng có thể bỏ phiếu để khôi phục chúng.

Ngoài ra, Acala kêu gọi người dùng mint nhầm aUSD hoặc swap aUSD trên nền tảng khác hoàn lại tiền theo địa chỉ Polkadot và Moonbeam của dự án.

Cuối cùng, Acala theo dõi hoạt động on-chain và chia sẻ kết quả với cộng đồng. Nền tảng cho biết sẽ tạo điều kiện phát triển đề xuất từ cộng đồng, đưa ra phương hướng khôi phục peg cho aUSD.

Trong tuần này, ngoài Acala, Curve Finance (CRV) cũng bị tấn công và thiệt hại khoảng 570,000 USD. Tuy nhiên, Binance đã thu hồi  thành công đến 450,000 USD. Trong vụ của Curve Finance, hacker đặt một hợp đồng trên máy chủ để “bẫy” người dùng. Sự cố của Acala không giống như vậy vì các pool không bị ảnh hưởng khi người dùng sử dụng hợp đồng thông minh. 

Trước tình hình depeg đến 99%, nhiều người lo lắng lịch sử LUNA sẽ tái diễn. 0xTaylor, người đầu tiên phát hiện ra lỗ hổng và phát cảnh báo trên Twitter, trấn an mạng lưới vẫn có khả năng sống sót sau cơn bão lớn.

Vì “họ đã đặt mạng ở chế độ bảo trì để ngăn chặn giao dịch, họ hoàn toàn có thể thông qua một đề xuất quản trị và hoàn lại trạng thái cũ như đã làm trên Karura vào năm ngoái”, tài khoản này cho biết.

Bên cạnh đó, cơ chế tạo ra hai stablecoin cũng rất khác biệt. Để mint 1 UST, cần phải burn 1 LUNA. Mọi người sẵn sàng burn LUNA để kiếm được lợi nhuận trên các giao thức khác. Về phần aUSD, token này được mint bằng cách thế chấp DOT. Vì vốn hóa của aUSD không quá lớn, không nhiều người dùng sẵn sàng chấp nhận rủi ro thanh lý.