En valeur, il s’agissait ni plus ni moins du plus gros hack de l’histoire de la DeFi : 1,2 milliards de dollars. Dans les faits, l’incendie a rapidement été circonscrit et l’aUSD, qui avait subi un violent décrochage et perdu jusqu’à 99% de sa valeur, est repassé au-dessus de 0,91 dollar. L’écosystème Polkadot peut souffler après ce coup de chaud.
1,29 milliards d’aUSD générés à partir de rien, puis brûlés par Acala (ACA) après un vote de gouvernance
Nous vous le rapportions hier, le protocole de finance décentralisée (DeFi) Acala Network avait été attaqué dimanche matin. Suite à une mauvaise configuration de son pool de liquidités iBTC/aUSD, des petits malins avaient réussi à générer des aUSD à l’infini, sans apporter de cryptos en garantie !
Au total, l’attaquant a eu le temps de faire travailler la planche à billet pour produire 1 292 860 248 jetons aUSD à partir de rien. Il a même eu le temps de transférer 1 288 561 129 aUSD vers 16 adresses différentes sur le protocole Honzon, et laissé 4 299 119 sur le pool vulnérable d’Acala.
L’équipe a heureusement réagi très vite, parvenant à geler les 16 portefeuilles en question, puis en mettant en pause le protocole DeFi. Un vote de gouvernance a ensuite été soumis en urgence à la communauté, conclu par un Oui à une écrasante majorité.
Après un décrochage de plus de 99%, l’aUSD est revenu à presque 1 dollar
La conséquence la plus visible était un retour de l’aUSD à quelques points de la parité. A l’heure où nous écrivons ces lignes, l’Acala USD cote à un peu moins de 0,9000 USDT sur l’exchange KuCoin, principale crypto-bourse dont il tire ses volumes d’échanges.
S’il n’est pas totalement sorti d’affaire, il y a donc eu plus de peur de mal pour le stablecoin qui semblait être le plus prometteur de l’écosystème Polkadot (DOT).
L’année 2022 a été une année particulière en raison de l’effondrement de l’UST, le stablecoin de l’écosystème TerraLUNA. L’UST était un stablecoin algorithmique, tout comme l’est l’aUSD d’Acala.
Pour faire simple, chaque jeton aUSD émis sur le marché est adossé à un certain volume en cryptomonnaies afin de garantir sa stabilité par rapport à l’USD : des DOT, des ETH et des BTC, des ACA et d’autres stablecoins tels que l’USDT et l’USDC.
Les 1,29 milliards d’aUSD générés par le hacker l’ont donc été sans qu’aucun collatéral ne soit apporté. Fort heureusement, leur gel sur le protocole Honzon – le protocole à la manœuvre pour le stablecoin – a empêché l’afflux de ces aUSD non garantis sur le marché.
Le gel d’Acala Network n’a pas fait que des contents
Les partisans farouches de la décentralisation n’ont pas manqué d’émettre des réserves quant à la décision d’Acala de mettre le protocole DeFi en pause et de geler les fonds sur l’adresse du pirate.
Acala se présentait en effet comme un « hub de liquidité inter-chaînes qui émet le stablecoin aUSD basé sur la blockchain Polkadot ». L’aUSD était présenté comme « un stablecoin algorithmique crypté résistant à la censure ». Quant à l’iBTC, qui est une composante de l’histoire, il s’agit d’une forme de Wrapped Bitcoin (wBTC) que l’on peut utiliser dans les protocoles DeFi de Polkadot.
A posteriori, plusieurs utilisateurs ont donc fait remarquer toute l’ironie des affirmations d’Acala, dans le canal Discord officiel du projet :
Si Acala détient un tel pouvoir de décision et de manière centralisée, est-ce vraiment DeFi ?
Précédent ou pas, l’intervention des équipes Acala est toujours en cours, même si le burn des actifs produits par le hack ont déjà été brûlés.
L’attaque du protocole Acala est le deuxième en une semaine pour la DeFi. Sur le même sujet : Curve Finance victime d’un hack à 500 000 dollars.