Hedera Hashgraph er en distribuert hovedbok-teknologi som tilbyr raskere transaksjonstider og lavere gebyrer enn tradisjonelle blokkjeder. Hovednettet støtter smarte kontrakter og desentraliserte applikasjoner, og det har vunnet popularitet blant bedriftskunder på grunn av dets skalerbarhet og sikkerhetsfunksjoner.
Imidlertid bekreftet Hedera-teamet 10. mars 2023 en smart kontraktsutnyttelse på hovednettet som førte til tyveri av flere likviditetspool-tokens. Angrepet var rettet mot likviditetspool-tokens på desentraliserte børser (DEX-er) som bruker kode avledet fra Uniswap v2 på Ethereum, som ble overført for bruk på Hedera Token-tjenesten.
Angrepsvektoren antas å ha kommet fra prosessen med å konvertere Ethereum Virtual Machine (EVM)-kompatibel smart kontraktkode til Hedera Token Service (HTS). Som en del av denne prosessen dekompileres Ethereum-kontraktbytekode til HTS. Den Hedera-baserte DEX SaucerSwap mener at det er her angrepsvektoren kom fra, men Hedera har ikke bekreftet dette.
Den mistenkelige aktiviteten ble oppdaget da angriperen forsøkte å flytte de stjålne tokenene over Hashport-broen, som består av likviditetspool-tokens på SaucerSwap, Pangolin og HeliSwap. Operatører handlet raskt for å midlertidig stoppe broen, og hindret angriperen i å flytte de stjålne tokenene videre.
Hedera har ikke bekreftet nøyaktig antall tokens som ble stjålet, men teamet jobber med en løsning for å fjerne sårbarheten. Den 9. mars klarte Hedera å stenge nettverkstilgangen ved å slå av IP-proxyer, og den har siden identifisert "rotårsaken" til utnyttelsen.
Løsningen forventes å være klar snart, og når den først er det, vil Hedera Council-medlemmer signere transaksjoner for å godkjenne distribusjon av oppdatert kode på hovednettet for å fjerne sårbarheten. Etter distribusjonen vil mainnet proxyene slås på igjen, slik at normal aktivitet kan gjenopptas.
I mellomtiden har Hedera foreslått at tokenholdere sjekker saldoene på deres konto-ID og Ethereum Virtual Machine (EVM)-adresse på hashscan.io for deres egen "komfort." Prisen på nettverkets token, Hedera (HBAR), har falt 7 % siden hendelsen, i tråd med det bredere markedsfallet de siste 24 timene.
Hendelsen fremhever risikoen for smart kontraktutnyttelse på blokkjedenettverk og viktigheten av sikkerhetstiltak for å forhindre slike angrep. Hederas respons på utnyttelsen har vært rask og proaktiv, og de jobber med å gjenopprette nettverkets sikkerhet og funksjonalitet så snart som mulig.
Kilde: https://blockchain.news/news/hedera-mainnet-exploitedleading-to-theft-of-liquidity-pool-tokens