Hedera Hashgraph je technologie distribuované účetní knihy, která nabízí rychlejší transakční časy a nižší poplatky než tradiční blockchainy. Jeho mainnet podporuje chytré smlouvy a decentralizované aplikace a mezi podnikovými klienty si získal oblibu díky své škálovatelnosti a bezpečnostním funkcím.
Dne 10. března 2023 však tým Hedera potvrdil zneužití chytré smlouvy na své hlavní síti, které vedlo ke krádeži několika tokenů fondu likvidity. Útok byl zaměřen na tokeny fondu likvidity na decentralizovaných burzách (DEX), které používají kód odvozený z Uniswap v2 na Ethereum, který byl přenesen pro použití na Hedera Token Service.
Předpokládá se, že vektor útoku pochází z procesu převodu kódu inteligentní smlouvy kompatibilní s Ethereum Virtual Machine (EVM) na službu Hedera Token Service (HTS). V rámci tohoto procesu je bajtkód smlouvy Ethereum dekompilován do HTS. DEX SaucerSwap založený na Hedera se domnívá, že odtud pochází vektor útoku, ale Hedera to nepotvrdila.
Podezřelá aktivita byla zjištěna, když se útočník pokusil přesunout ukradené tokeny přes most Hashport, který se skládá z tokenů fondu likvidity na SaucerSwap, Pangolin a HeliSwap. Operátoři okamžitě zasáhli, aby dočasně pozastavili most a zabránili útočníkovi v dalším pohybu ukradených žetonů.
Hedera nepotvrdila přesné množství tokenů, které byly ukradeny, ale tým pracuje na řešení, jak zranitelnost odstranit. 9. března se společnosti Hedera podařilo vypnout přístup k síti vypnutím IP proxy a od té doby identifikovala „kořenovou příčinu“ zneužití.
Očekává se, že řešení bude brzy připraveno, a jakmile bude, členové Rady Hedera podepíší transakce, aby schválili nasazení aktualizovaného kódu na hlavní síť, aby se zranitelnost odstranila. Po nasazení budou síťové proxy servery opět zapnuty, což umožní obnovení normální činnosti.
Mezitím Hedera navrhla, aby držitelé tokenů zkontrolovali zůstatky na svém ID účtu a adrese Ethereum Virtual Machine (EVM) na hashscan.io pro své vlastní „pohodlí“. Cena síťového tokenu Hedera (HBAR) od incidentu klesla o 7 %, v souladu s širším poklesem trhu za posledních 24 hodin.
Incident zdůrazňuje rizika zneužívání chytrých smluv na blockchainových sítích a důležitost bezpečnostních opatření, která takovým útokům zabrání. Reakce společnosti Hedera na zneužití byla rychlá a proaktivní a snaží se co nejdříve obnovit zabezpečení a funkčnost sítě.
Zdroj: https://blockchain.news/news/hedera-mainnet-exploitedleading-to-theft-of-liquidity-pool-tokens