Hedera, pasukan di belakang lejar yang diedarkan Hedera Hashgraph, telah mengesahkan eksploitasi kontrak pintar di Hedera Mainnet yang telah membawa kepada kecurian beberapa token kumpulan kecairan.
Hedera berkata penyerang menyasarkan token kumpulan kecairan pada pertukaran terdesentralisasi (DEX) yang memperoleh kodnya daripada Uniswap v2 pada Ethereum, yang dialihkan untuk digunakan pada Perkhidmatan Token Hedera.
Hari ini, penyerang mengeksploitasi kod Perkhidmatan Kontrak Pintar mainnet Hedera untuk memindahkan token Perkhidmatan Token Hedera yang dipegang oleh akaun mangsa ke akaun mereka sendiri. (1/6)
— Hedera (@hedera) Mac 10, 2023
Pasukan Hedera menjelaskan bahawa aktiviti mencurigakan itu dikesan apabila penyerang cuba mengalihkan token yang dicuri merentasi jambatan Hashport, yang terdiri daripada token kumpulan kecairan pada SaucerSwap, Tenggiling dan HeliSwap. Bagaimanapun, pengendali kemudian bertindak segera untuk menghentikan sementara jambatan itu.
Hedera tidak mengesahkan jumlah token yang dicuri.
Pada 3 Februari, Hedera dinaik taraf rangkaian untuk menukar kod kontrak pintar yang serasi dengan Mesin Maya Ethereum (EVM) kepada Perkhidmatan Token Hedera (HTS).
Sebahagian daripada proses ini melibatkan penyahkompiunan kod bait kontrak Ethereum kepada HTS, yang mana DEX berasaskan Hedera SaucerSwap percaya vektor serangan datang dari. Walau bagaimanapun, Hedera tidak mengesahkan perkara ini dalam siaran terbarunya.
Terdahulu, Hedera berjaya menutup akses rangkaian dengan mematikan proksi IP pada 9 Mac. Pasukan itu berkata ia telah mengenal pasti "punca utama" eksploitasi itu dan "mengusahakan penyelesaian."
Untuk menghalang penyerang daripada dapat mencuri lebih banyak token, Hedera mematikan proksi mainnet, yang mengalih keluar akses pengguna ke mainnet. Pasukan itu telah mengenal pasti punca isu tersebut dan sedang berusaha mencari penyelesaian. (5/6)
— Hedera (@hedera) Mac 10, 2023
"Setelah penyelesaian sedia, ahli Majlis Hedera akan menandatangani urus niaga untuk meluluskan penggunaan kod yang dikemas kini pada mainnet untuk menghapuskan kelemahan ini, pada ketika itu proksi mainnet akan dihidupkan semula, membolehkan aktiviti biasa diteruskan," tambah pasukan itu.
Memandangkan Hedera mematikan proksi sejurus selepas ia menemui potensi eksploitasi, pasukan itu mencadangkan pemegang token menyemak baki pada ID akaun mereka dan alamat Mesin Maya Ethereum (EVM) di hashscan.io untuk "keselesaan" mereka sendiri.
Semua fungsi HashPack tidak akan tersedia semasa masa henti ini https://t.co/ngaRmg00Zi
— Dompet HashPack (@HashPackApp) Mac 9, 2023
Berkaitan: Majlis Tadbir Hedera untuk membeli IP hashgraph dan kod projek sumber terbuka
Harga token rangkaian Hedera (HBAR) telah jatuh 7% sejak kejadian itu kira-kira 16 jam yang lalu, sejajar dengan kejatuhan pasaran yang lebih luas dalam tempoh 24 jam yang lalu.
Walau bagaimanapun, jumlah nilai terkunci (TVL) pada SaucerSwap jatuh hampir 30% daripada $20.7 juta kepada $14.58 juta dalam tempoh masa yang sama:
Kejatuhan mencadangkan sejumlah besar pemegang token bertindak cepat dan mengeluarkan dana mereka berikutan perbincangan awal tentang potensi eksploitasi.
Insiden itu berpotensi merosakkan peristiwa penting untuk rangkaian, dengan Hedera Mainnet melepasi 5 bilion transaksi pada 9 Mac.
#Ivy: 5 BILION urus niaga mainnet!
Urus niaga sebenar. Aplikasi sebenar. Dunia sebenar #utiliti. Adakah anda menonton?
Kita sedang menyaksikan #DLT diterima pakai pada skala yang belum pernah terjadi sebelumnya.
Ini hanya permulaan. pic.twitter.com/n0TbWTJmC0
— Hedera (@hedera) Mac 8, 2023
Ini nampaknya merupakan eksploitasi rangkaian pertama yang dilaporkan pada Hedera sejak ia dilancarkan pada Julai 2017.
Sumber: https://cointelegraph.com/news/hedera-confirms-exploit-on-mainnet-led-to-theft-of-service-tokens