Hedera Hashgraph е технология за разпределен регистър, която предлага по-бързо време за транзакции и по-ниски такси от традиционните блокчейни. Неговата основна мрежа поддържа интелигентни договори и децентрализирани приложения и придоби популярност сред корпоративните клиенти поради своята мащабируемост и функции за сигурност.
Въпреки това, на 10 март 2023 г. екипът на Hedera потвърди експлойт на интелигентен договор в своята основна мрежа, който доведе до кражба на няколко токена за пул ликвидност. Атаката беше насочена към жетони за пул ликвидност на децентрализирани борси (DEX), които използват код, извлечен от Uniswap v2 на Ethereum, който беше пренесен за използване в Hedera Token Service.
Смята се, че векторът на атаката идва от процеса на конвертиране на съвместим с Ethereum Virtual Machine (EVM) код на интелигентен договор в Hedera Token Service (HTS). Като част от този процес байт кодът на договора на Ethereum се декомпилира в HTS. Базираната в Hedera DEX SaucerSwap вярва, че оттук идва векторът на атаката, но Hedera не е потвърдила това.
Подозрителната активност беше открита, когато нападателят се опита да премести откраднатите токени през моста Hashport, който се състои от токени за пул ликвидност на SaucerSwap, Pangolin и HeliSwap. Операторите действаха незабавно, за да спрат временно моста, предотвратявайки нападателя да премести откраднатите токени по-нататък.
Hedera не потвърди точното количество токени, които са били откраднати, но екипът работи върху решение за премахване на уязвимостта. На 9 март Hedera успя да затвори достъпа до мрежата, като изключи IP прокситата, и оттогава идентифицира „първопричината“ за експлойта.
Очаква се решението да бъде готово скоро и след като бъде готово, членовете на Съвета на Hedera ще подпишат транзакции, за да одобрят внедряването на актуализиран код в основната мрежа за премахване на уязвимостта. След внедряването прокситата на основната мрежа ще бъдат включени отново, което ще позволи възобновяване на нормалната дейност.
Междувременно Hedera предложи на притежателите на токени да проверят балансите по идентификатора на акаунта си и адреса на виртуалната машина на Ethereum (EVM) на hashscan.io за собствено „удобство“. Цената на токена на мрежата, Hedera (HBAR), падна със 7% след инцидента, в съответствие с по-широкия спад на пазара през последните 24 часа.
Инцидентът подчертава рисковете от използване на интелигентни договори в блокчейн мрежи и значението на мерките за сигурност за предотвратяване на подобни атаки. Отговорът на Hedera на експлойта беше бърз и проактивен и работи за възстановяване на сигурността и функционалността на мрежата възможно най-скоро.
Източник: https://blockchain.news/news/hedera-mainnet-exploitedleading-to-theft-of-liquidity-pool-tokens