Hedera Hashgraph yra paskirstytos knygos technologija, kuri siūlo greitesnį operacijų laiką ir mažesnius mokesčius nei tradicinės blokų grandinės. Jo pagrindinis tinklas palaiko išmaniąsias sutartis ir decentralizuotas programas, o dėl savo mastelio ir saugos funkcijų jis išpopuliarėjo tarp įmonių klientų.
Tačiau 10 m. kovo 2023 d. „Hedera“ komanda savo pagrindiniame tinkle patvirtino išmanųjį sutarties išnaudojimą, dėl kurio buvo pavogti keli likvidumo fondo žetonai. Ataka buvo nukreipta į likvidumo telkinio žetonus decentralizuotose biržose (DEX), kuriose naudojamas kodas, gautas iš Uniswap v2 Ethereum, kuris buvo perkeltas naudoti Hedera Token Service.
Manoma, kad atakos vektorius atsirado konvertuojant su Ethereum virtualią mašiną (EVM) suderinamą išmaniosios sutarties kodą į Hedera Token Service (HTS). Šio proceso metu Ethereum sutarties baitų kodas dekompiliuojamas į HTS. „Hedera“ veikianti „DEX SaucerSwap“ mano, kad iš čia kilo atakos vektorius, tačiau „Hedera“ to nepatvirtino.
Įtartina veikla buvo aptikta, kai užpuolikas bandė perkelti pavogtus žetonus per Hashport tiltą, kurį sudaro SaucerSwap, Pangolin ir HeliSwap likvidumo fondo žetonai. Operatoriai nedelsdami ėmėsi veiksmų, kad laikinai sustabdytų tiltą, neleisdami užpuolikui toliau perkelti pavogtų žetonų.
Hedera nepatvirtino tikslaus pavogtų žetonų kiekio, tačiau komanda ieško sprendimo, kaip pašalinti pažeidžiamumą. Kovo 9 d. Hedera sugebėjo išjungti prieigą prie tinklo, išjungdama IP tarpinius serverius, ir nuo tada ji nustatė „pagrindinę išnaudojimo priežastį“.
Tikimasi, kad sprendimas netrukus bus paruoštas, o kai tik jis bus parengtas, „Hedera“ tarybos nariai pasirašys sandorius, kad patvirtintų atnaujinto kodo diegimą pagrindiniame tinkle, kad būtų pašalintas pažeidžiamumas. Po įdiegimo pagrindinio tinklo tarpiniai serveriai bus vėl įjungti, kad būtų atnaujinta įprasta veikla.
Tuo tarpu Hedera pasiūlė žetonų turėtojams patikrinti savo sąskaitos ID ir Ethereum virtualiosios mašinos (EVM) adreso likučius hashscan.io, kad būtų patogiau. Tinklo žetono „Hedera“ (HBAR) kaina nuo incidento nukrito 7%, atsižvelgiant į platesnį rinkos kritimą per pastarąsias 24 valandas.
Incidentas išryškina išmaniųjų sutarčių išnaudojimo „blockchain“ tinkluose riziką ir saugumo priemonių, kad būtų išvengta tokių atakų, svarbą. „Hedera“ reagavo į išnaudojimą greitai ir aktyviai, todėl ji stengiasi kuo greičiau atkurti tinklo saugumą ir funkcionalumą.
Šaltinis: https://blockchain.news/news/hedera-mainnet-exploitedleading-to-theft-of-liquidity-pool-tokens