Hedera, tým za distribuovanou účetní knihou Hedera Hashgraph, potvrdil využití chytré smlouvy na Hedera Mainnet, které vedlo ke krádeži několika tokenů fondu likvidity.
Hedera uvedla, že útočník se zaměřoval na tokeny fondu likvidity na decentralizovaných burzách (DEX), které odvodily svůj kód z Uniswap v2 na Ethereum, který byl přenesen pro použití na Hedera Token Service.
Dnes útočníci zneužili kód Smart Contract Service mainnetu Hedera k převodu tokenů Hedera Token Service držených účty obětí na jejich vlastní účet. (1/6)
— Hedera (@hedera) 10. března 2023
Tým Hedera vysvětlil, že podezřelá aktivita byla zjištěna, když se útočník pokusil přesunout ukradené tokeny přes most Hashport, který se skládal z tokenů fondu likvidity na SaucerSwap, Pangolin a HeliSwap. Operátoři však okamžitě zasáhli a most dočasně pozastavili.
Hedera nepotvrdila množství žetonů, které byly ukradeny.
3. února Hedera modernizované síť pro převod kódu inteligentní smlouvy kompatibilní s Ethereum Virtual Machine (EVM) na službu Hedera Token Service (HTS).
Součástí tohoto procesu je dekompilace bajtového kódu smlouvy Ethereum do HTS, kde DEX na bázi Hedera Výměna talířů věří pochází útočný vektor. Hedera to však ve svém posledním příspěvku nepotvrdil.
Již dříve se společnosti Hedera podařilo zastavit přístup k síti vypnutím IP proxy 9. března. Tým uvedl, že identifikoval „hlavní příčinu“ zneužití a „pracuje na řešení“.
Aby útočník nemohl ukrást více tokenů, Hedera vypnula servery proxy v síti, což uživatelům odebralo přístup do hlavní sítě. Tým identifikoval hlavní příčinu problému a pracuje na řešení. (5/6)
— Hedera (@hedera) 10. března 2023
„Jakmile bude řešení připraveno, členové Rady Hedera podepíší transakce, aby schválili nasazení aktualizovaného kódu na mainnet k odstranění této zranitelnosti, v tomto okamžiku budou mainnetové proxy opět zapnuty, což umožní obnovení normální činnosti,“ dodal tým.
Protože Hedera vypnula proxy krátce poté, co našla potenciální zneužití, tým navrhl držitelé tokenů kontrolují zůstatky na svém ID účtu a adrese virtuálního stroje Ethereum (EVM) na hashscan.io pro své vlastní „pohodlí“.
Všechny funkce HashPack budou během tohoto výpadku nedostupné https://t.co/ngaRmg00Zi
— HashPack Wallet (@HashPackApp) 9. března 2023
Související: Hedera Governing Council koupí hashgraph IP a open-source kód projektu
Cena síťového tokenu Hedera (HBAR) klesla o 7 % od incidentu zhruba před 16 hodinami, v souladu s širší pokles trhu za posledních 24 hodin.
Celková uzamčená hodnota (TVL) na SaucerSwap však za stejné časové období klesla téměř o 30 % z 20.7 milionu USD na 14.58 milionu USD:
Pád naznačuje, že značné množství držitelů tokenů jednalo rychle a vybralo své prostředky po úvodní diskuzi o možném zneužití.
Incident potenciálně zkazil významný milník pro síť, s Hlavní síť Hedera 5. března překonal 9 miliard transakcí.
#Břečťan: 5 MILIARD transakcí na síti!
Skutečné transakce. Reálné aplikace. Reálný svět #utilita. Koukáš se?
Jsme svědky #DLT přijetí v bezprecedentním měřítku.
To je jenom začátek. pic.twitter.com/n0TbWTJmC0
— Hedera (@hedera) 8. března 2023
Zdá se, že jde o první hlášené zneužití sítě na Hedera od jejího spuštění v červenci 2017.
Zdroj: https://cointelegraph.com/news/hedera-confirms-exploit-on-mainnet-led-to-theft-of-service-tokens