„Hedera“, paskirstytos knygos „Hedera Hashgraph“ komanda, patvirtino išmanųjį sutarties išnaudojimą „Hedera Mainnet“, dėl kurio buvo pavogti keli likvidumo fondo žetonai.
„Hedera“ teigė, kad užpuolikas nusitaikė į likvidumo fondo žetonus decentralizuotose biržose (DEX), kurių kodas buvo gautas iš „Uniswap v2“ „Ethereum“, kuris buvo perkeltas naudoti „Hedera Token Service“.
Šiandien užpuolikai pasinaudojo „Hedera mainnet“ Smart Contract Service kodu, kad perkeltų „Hedera Token Service“ žetonus, turimus aukų paskyrose į savo paskyrą. (1/6)
– Hedera (@hedera) Kovo 10, 2023
„Hedera“ komanda paaiškino, kad įtartina veikla buvo aptikta, kai užpuolikas bandė perkelti pavogtus žetonus per Hashport tiltą, kurį sudarė SaucerSwap, Pangolin ir HeliSwap likvidumo fondo žetonai. Tačiau operatoriai nedelsdami ėmėsi veiksmų laikinai sustabdyti tilto eigą.
Hedera nepatvirtino pavogtų žetonų kiekio.
Vasario 3 d., Hedera modernizuotos tinklas, skirtas konvertuoti su Ethereum virtualią mašiną (EVM) suderinamą išmaniosios sutarties kodą į Hedera Token Service (HTS).
Dalis šio proceso apima Ethereum sutarties baito kodo dekompiliavimą į HTS, „Hedera“ pagrindu sukurtas DEX Pakeisti lėkštę mano, atakos vektorius kilo iš. Tačiau Hedera to nepatvirtino savo naujausiame įraše.
Anksčiau Hedera sugebėjo išjungti prieigą prie tinklo, kovo 9 d. išjungdama IP tarpinius serverius. Komanda teigė, kad nustatė „pagrindinę išnaudojimo priežastį“ ir „dirba ieškodama sprendimo“.
Kad užpuolikas negalėtų pavogti daugiau žetonų, Hedera išjungė pagrindinio tinklo tarpinius serverius, kurie pašalino vartotojo prieigą prie pagrindinio tinklo. Komanda nustatė pagrindinę problemos priežastį ir ieško sprendimo. (5/6)
– Hedera (@hedera) Kovo 10, 2023
„Kai sprendimas bus paruoštas, Hedera tarybos nariai pasirašys sandorius, kad patvirtintų atnaujinto kodo diegimą pagrindiniame tinkle, kad būtų pašalintas šis pažeidžiamumas, o tada bus vėl įjungti pagrindinio tinklo tarpiniai serveriai, kad būtų atnaujinta įprasta veikla“, – pridūrė komanda.
Kadangi Hedera išjungė tarpinius serverius netrukus po to, kai rado potencialų išnaudojimą, komanda pasiūlė žetonų turėtojai patikrina savo sąskaitos ID ir Ethereum virtualiosios mašinos (EVM) adreso likučius hashscan.io, kad jie būtų „patogūs“.
Šios prastovos metu visos „HashPack“ funkcijos nebus pasiekiamos https://t.co/ngaRmg00Zi
– „HashPack“ piniginė (@HashPackApp) Kovo 9, 2023
Susiję: Hedera valdančioji taryba nupirks maišos IP ir atvirojo kodo projekto kodą
Tinklo žetono kaina Hedera (HBAR) sumažėjo 7 % nuo incidento, įvykusio maždaug prieš 16 valandų platesnis rinkos kritimas per pastarąsias 24 valandas.
Tačiau bendra užrakinta vertė (TVL) „SaucerSwap“ per tą patį laikotarpį sumažėjo beveik 30% nuo 20.7 mln. USD iki 14.58 mln.
Kritimas rodo, kad didelė dalis žetonų turėtojų pasielgė greitai ir atsiėmė savo lėšas po pirminės diskusijos apie galimą išnaudojimą.
Šis incidentas potencialiai sugadino svarbų tinklo etapą Hedera Mainnet kovo 5 d. viršijo 9 mlrd. sandorių.
#Hedera: 5 milijardai mainnet operacijų!
Realūs sandoriai. Tikros programos. Realus pasaulis #naudingumas. Ar tu ziuri?
Mes liudijame #DLT precedento neturinčiu mastu.
Tai tik pradžia. pic.twitter.com/n0TbWTJmC0
– Hedera (@hedera) Kovo 8, 2023
Panašu, kad tai pirmasis „Hedera“ tinklo išnaudojimas nuo tada, kai ji buvo paleista 2017 m. liepos mėn.
Šaltinis: https://cointelegraph.com/news/hedera-confirms-exploit-on-mainnet-led-to-theft-of-service-tokens