Hedera Hashgraph je technológia distribuovanej účtovnej knihy, ktorá ponúka rýchlejšie transakčné časy a nižšie poplatky ako tradičné blockchainy. Jeho mainnet podporuje smart kontrakty a decentralizované aplikácie a medzi podnikovými klientmi si získal obľubu vďaka svojej škálovateľnosti a bezpečnostným funkciám.
10. marca 2023 však tím Hedera potvrdil zneužitie inteligentnej zmluvy na svojej hlavnej sieti, ktoré viedlo ku krádeži niekoľkých tokenov fondu likvidity. Útok sa zameral na tokeny fondu likvidity na decentralizovaných burzách (DEX), ktoré používajú kód odvodený z Uniswap v2 na Ethereum, ktorý bol prenesený na použitie v službe Hedera Token Service.
Predpokladá sa, že vektor útoku pochádza z procesu konverzie kódu inteligentnej zmluvy kompatibilného s Ethereum Virtual Machine (EVM) na službu Hedera Token Service (HTS). V rámci tohto procesu sa bajtový kód zmluvy Ethereum dekompiluje do HTS. DEX SaucerSwap založený na Hedere sa domnieva, že odtiaľto pochádza útočný vektor, ale Hedera to nepotvrdila.
Podozrivá aktivita bola zistená, keď sa útočník pokúsil presunúť ukradnuté tokeny cez most Hashport, ktorý pozostáva z tokenov fondu likvidity na SaucerSwap, Pangolin a HeliSwap. Operátori okamžite zareagovali, aby dočasne pozastavili most, čím zabránili útočníkovi presunúť ukradnuté žetóny ďalej.
Hedera nepotvrdila presné množstvo tokenov, ktoré boli ukradnuté, ale tím pracuje na riešení na odstránenie tejto zraniteľnosti. 9. marca sa spoločnosti Hedera podarilo vypnúť prístup k sieti vypnutím IP proxy a odvtedy identifikovala „hlavnú príčinu“ zneužitia.
Očakáva sa, že riešenie bude čoskoro pripravené, a akonáhle bude, členovia rady Hedera podpíšu transakcie, aby schválili nasadenie aktualizovaného kódu na mainnet na odstránenie zraniteľnosti. Po nasadení sa mainnetové proxy opäť zapnú, čo umožní obnovenie normálnej činnosti.
Medzitým Hedera navrhla, aby si držitelia tokenov skontrolovali zostatky na svojom účte ID a adrese Ethereum Virtual Machine (EVM) na hashscan.io pre svoje vlastné „pohodlie“. Cena sieťového tokenu Hedera (HBAR) od incidentu klesla o 7 %, v súlade so širším poklesom trhu za posledných 24 hodín.
Incident poukazuje na riziká zneužívania inteligentných zmlúv na blockchainových sieťach a dôležitosť bezpečnostných opatrení na zabránenie takýmto útokom. Reakcia spoločnosti Hedera na zneužitie bola rýchla a proaktívna a snaží sa čo najskôr obnoviť bezpečnosť a funkčnosť siete.
Zdroj: https://blockchain.news/news/hedera-mainnet-exploitedleading-to-theft-of-liquidity-pool-tokens