Decentralized proof-of-stake (PoS) блокчейн Hedera най-накрая потвърди пробив в сигурността. В актуализация екипът зад платформата разкри, че нападателите са успели да експлоатират кода на Smart Contract Service на основната мрежа на протокола, за да прехвърлят токените на Hedera Token Service, държани от акаунтите на жертвите, към своите собствени.
В него се казва, че основната причина за проблема е идентифицирана от екипа и се работи по решение.
Експлойт на Hedera
Освен това Hedera отбеляза, че нападателите са се насочили към тези акаунти, които са били използвани като пулове на ликвидност на множество децентрализирани борси – включително Pangolin, SaucerSwap и HeliSwap – които използват договорен код, получен от Uniswap v2, пренесен за използване на Hedera Token Service за извършване на кражбата.
Hedera обяви спирането на мрежовите услуги и първоначално цитира „мрежови нередности“ като причина. В последното потвърждение конец публикувано от платформата, се казва, че прокситата на основната мрежа все още са изключени, за да се предотврати възможността на атакуващия да открадне повече токени, като по този начин се премахва достъпът на потребителите до основната мрежа. В момента екипът работи върху решение.
„След като решението е готово, членовете на Съвета на Hedera ще подпишат транзакции, за да одобрят внедряването на актуализиран код в основната мрежа за премахване на тази уязвимост, в който момент прокситата на основната мрежа ще бъдат включени отново, позволявайки възобновяване на нормалната дейност.“
Нередности в мрежата
Няколко децентрализирани приложения, работещи в мрежата, преди това са маркирали подозрителна дейност. Базирано на Hedera кръстосано верижно решение, Hashport bridge, става първият субект, който замрази мостови активи след откриване на нередности в интелигентни договори по-рано тази седмица.
Досега Hedera Token Service (HTS) и Hedera Consensus Service (HCS) са били засегнати от експлойта.
Изследователска фирма DeFi, Ignas каза експлойтът е насочен към „процеса на декомпилиране в интелигентни договори“. Няколко базирани на Hedera децентрализирани борси, от друга страна, които не се препоръчват потребителите да теглят средствата си. Но по-късно, SaucerSwap потвърди той не беше засегнат от експлойта и помоли потребителите да не теглят ликвидност от платформата.
Въпреки това, шефът на Pangolin Джъстин Тролип посочен че децентрализираната борса е източила $20,000 2,000, в допълнение към $100 от HeliSwap. Часове по-късно той получава информация, че са откраднати още XNUMX хиляди. Нападателите не успяха да преместят средствата си от Hedera, тъй като вече нямаха достъп до поставени на пауза токени Hashport. Техният план за излизане от Ethereum също беше компрометиран, благодарение на съвместните усилия на екипите.
След това обаче нападателите започнаха да се опитват да преместят средствата си в ChangeNow.io и Godex.io. Според Тролип, член на екипа се е свързал с централизираните крипто борси, за да спре дейността, и властите са били предупредени.
След инцидента общата заключена стойност (TVL) пада бързо. Според данни съставен от DefiLlama, TVL на Hedera падна до $24.59 милиона, спад с повече от 16% през последните 24 часа.
Родният токен на Hedera, HBAR, също претърпя над 7% загуби и в момента се търгуваше на $0.057.
Binance Безплатни $100 (изключително): Използвайте тази връзка да се регистрирате и да получите $100 безплатни и 10% отстъпка от таксите за Binance Futures първия месец (условия).
Специална оферта на PrimeXBT: Използвайте тази връзка за да се регистрирате и въведете POTATO50 код, за да получите до $7,000 на вашите депозити.
Източник: https://cryptopotato.com/hedera-exploit-attackers-target-smart-contract-service-code/