חדרה, הצוות שמאחורי ספר החשבונות המבוזר חדרה האשגרף, אישר ניצול חוזה חכם ב-Hedera Mainnet שהוביל לגניבה של כמה אסימוני מאגר נזילות.
Hedera אמר כי התוקף כיוון לאסימוני מאגר נזילות בבורסות מבוזרות (DEXs) שהפיקו את הקוד שלו מ-Uniswap v2 ב-Ethereum, שהועבר לשימוש בשירות Token Hedera.
היום, תוקפים ניצלו את קוד שירות חוזים חכמים של הרשת הראשית של חדרה כדי להעביר אסימונים של שירות האסימונים של חדרה שהוחזקו בחשבונות של קורבנות לחשבון שלהם. (1/6)
— חדרה (@hedera) במרץ 10, 2023
צוות חדרה הסביר כי הפעילות החשודה זוהתה כאשר התוקף ניסה להעביר את האסימונים הגנובים על פני גשר האשפורט, אשר מורכב מאסימוני מאגר נזילות ב-SaucerSwap, Pangolin ו-HeliSwap. עם זאת, לאחר מכן פעלו המפעילים באופן מיידי להשהות זמנית את הגשר.
בחדרה לא אישרו את כמות האסימונים שנגנבו.
ב-3 בפברואר חדרה משודרג הרשת להמיר קוד חוזה חכם תואם Ethereum Virtual Machine (EVM) לשירות Token Hedera (HTS).
חלק מתהליך זה כרוך בפירוק של קוד בתים של חוזה Ethereum ל-HTS, וזה המקום שבו DEX מבוסס חדרה תחתית החלפה מאמין וקטור ההתקפה הגיע ממנו. עם זאת, חדרה לא אישרה זאת בפוסט האחרון שלה.
מוקדם יותר, חדרה הצליחה לסגור את הגישה לרשת על ידי כיבוי של פרוקסי IP ב-9 במרץ. הצוות אמר שהוא זיהה את "גורם השורש" לניצול ו"עובד על פתרון".
כדי למנוע מהתוקף לגנוב עוד אסימונים, חדרה כיבה את פרוקסי ה- mainnet, שהסירו את גישת המשתמשים ל- mainnet. הצוות זיהה את שורש הבעיה ועובד על פתרון. (5/6)
— חדרה (@hedera) במרץ 10, 2023
"ברגע שהפתרון יהיה מוכן, חברי מועצת חדרה יחתמו על עסקאות לאישור פריסת קוד מעודכן ב-mainnet כדי להסיר את הפגיעות הזו, ובשלב זה יופעלו שוב פרוקסי ה-mainnet, ויאפשרו לחדש את הפעילות הרגילה", הוסיפו הצוות.
מכיוון שחדרה כיבה פרוקסי זמן קצר לאחר שמצאה את הניצול הפוטנציאלי, הצוות מוצע בעלי אסימון בודקים את היתרות במזהה החשבון שלהם ובכתובת Ethereum Virtual Machine (EVM) ב-hashscan.io למען ה"נוחות" שלהם.
כל הפונקציונליות של HashPack לא תהיה זמינה במהלך השבתה זו https://t.co/ngaRmg00Zi
— ארנק HashPack (@HashPackApp) במרץ 9, 2023
מידע נוסף: מועצת השלטון של חדרה תרכוש את ה-Hashgraph IP וקוד של פרויקט קוד פתוח
מחיר האסימון של הרשת חדרה (HBAR) ירד ב-7% מאז התקרית לפני כ-16 שעות, בהתאם ל נפילה רחבה יותר בשוק במהלך 24 השעות האחרונות.
עם זאת, הערך הכולל הנעול (TVL) ב-SaucerSwap ירד בכמעט 30% מ-20.7 מיליון דולר ל-14.58 מיליון דולר באותו פרק זמן:
הנפילה מעידה על כמות משמעותית של מחזיקי אסימונים פעלו במהירות ומשכו את כספיהם בעקבות הדיון הראשוני על ניצול פוטנציאלי.
האירוע עלול לקלקל אבן דרך חשובה עבור הרשת, עם חדרה מיינט עלה על 5 מיליארד עסקאות ב-9 במרץ.
# חדרה: 5 מיליארד עסקאות mainnet!
עסקאות אמיתיות. יישומים אמיתיים. עולם אמיתי #תוֹעֶלֶת. האם אתה מסתכל?
אנחנו עדים #DLT אימוץ בקנה מידה חסר תקדים.
זו רק ההתחלה. pic.twitter.com/n0TbWTJmC0
— חדרה (@hedera) במרץ 8, 2023
נראה שזהו ניצול הרשת המדווח הראשון בחדרה מאז שהושק ביולי 2017.
מקור: https://cointelegraph.com/news/hedera-confirms-exploit-on-mainnet-led-to-theft-of-service-tokens