Η αποκεντρωμένη απόδειξη στοιχήματος (PoS) blockchain Hedera επιβεβαίωσε επιτέλους μια παραβίαση ασφαλείας. Σε μια ενημέρωση, η ομάδα πίσω από την πλατφόρμα αποκάλυψε ότι οι επιτιθέμενοι κατάφεραν να εκμεταλλευτούν τον κώδικα Smart Contract Service του κύριου δικτύου του πρωτοκόλλου για να μεταφέρουν τα διακριτικά Hedera Token Service που διατηρούνται από τους λογαριασμούς των θυμάτων στους δικούς τους.
Ανέφερε ότι η βασική αιτία του προβλήματος έχει εντοπιστεί από την ομάδα και εργάζεται για μια λύση.
Hedera Exploit
Η Hedera σημείωσε περαιτέρω ότι οι επιτιθέμενοι στόχευαν εκείνους τους λογαριασμούς που χρησιμοποιήθηκαν ως ομάδες ρευστότητας σε πολλαπλά αποκεντρωμένα χρηματιστήρια - συμπεριλαμβανομένων των Pangolin, SaucerSwap και HeliSwap - που χρησιμοποιούν κωδικό σύμβασης που προέρχεται από το Uniswap v2 που μεταφέρθηκε για να χρησιμοποιήσει την υπηρεσία Hedera Token για να πραγματοποιήσει την κλοπή.
Η Hedera ανακοίνωσε τον τερματισμό των υπηρεσιών δικτύου και αρχικά ανέφερε ότι αντιμετώπισε «παρατυπίες δικτύου» ως λόγο. Στην τελευταία επιβεβαίωση νήμα αναρτήθηκε από την πλατφόρμα, ανέφερε ότι οι διακομιστής μεσολάβησης mainnet εξακολουθούν να είναι απενεργοποιημένοι για να αποτρέψουν τον εισβολέα από το να μπορεί να κλέψει περισσότερα διακριτικά, αφαιρώντας έτσι την πρόσβαση των χρηστών στο κεντρικό δίκτυο. Η ομάδα αυτή τη στιγμή εργάζεται για μια λύση.
«Μόλις η λύση είναι έτοιμη, τα μέλη του Συμβουλίου της Hedera θα υπογράψουν συναλλαγές για να εγκρίνουν την ανάπτυξη ενημερωμένου κώδικα στο mainnet για την άρση αυτής της ευπάθειας, οπότε οι διακομιστής μεσολάβησης mainnet θα ενεργοποιηθούν ξανά, επιτρέποντας την επανέναρξη της κανονικής δραστηριότητας».
Παρατυπίες δικτύου
Αρκετές αποκεντρωμένες εφαρμογές που εκτελούνται στο δίκτυο είχαν προηγουμένως επισημάνει ύποπτη δραστηριότητα. Λύση διασταυρούμενης αλυσίδας με βάση Hedera, γέφυρα Hashport, έγινε η πρώτη οντότητα που πάγωσε γεφυρωμένα περιουσιακά στοιχεία μετά τον εντοπισμό παρατυπιών έξυπνων συμβολαίων νωρίτερα αυτή την εβδομάδα.
Μέχρι στιγμής, η Hedera Token Service (HTS) και η Hedera Consensus Service (HCS) έχουν επηρεαστεί από το exploit.
Ερευνητική εταιρεία DeFi, Ignas είπε το exploit στοχεύει στη «διαδικασία αποσυμπίεσης σε έξυπνα συμβόλαια». Αρκετά αποκεντρωμένα χρηματιστήρια που βασίζονται στην Hedera, από την άλλη πλευρά, συνιστάται χρήστες να αποσύρουν τα χρήματά τους. Αλλά αργότερα, SaucerSwap επιβεβαίωσε δεν επηρεάστηκε από το exploit και ζήτησε από τους χρήστες να μην αποσύρουν ρευστότητα από την πλατφόρμα.
Ωστόσο, ο αρχηγός του Παγκολίνου Τζάστιν Τρόλιπ δήλωσε ότι το αποκεντρωμένο χρηματιστήριο εξαντλήθηκε 20,000 $, επιπλέον των 2,000 $ από το HeliSwap. Ώρες αργότερα, έλαβε πληροφορίες που υποδηλώνουν ότι κλάπηκαν επιπλέον 100. Οι επιτιθέμενοι απέτυχαν να μετακινήσουν τα χρήματά τους από το Hedera αφού δεν είχαν πλέον πρόσβαση σε κουπόνια Hashport που είχαν τεθεί σε παύση. Το σχέδιο εξόδου τους στο Ethereum επίσης τέθηκε σε κίνδυνο, χάρη στις κοινές προσπάθειες των ομάδων.
Ωστόσο, οι επιτιθέμενοι άρχισαν στη συνέχεια να προσπαθούν να μεταφέρουν τα χρήματά τους στο ChangeNow.io και στο Godex.io. Σύμφωνα με τον Trollip, ένα μέλος της ομάδας φέρεται να απευθύνθηκε στα κεντρικά ανταλλακτήρια κρυπτογράφησης για να σταματήσει τη δραστηριότητα και οι αρχές έχουν ειδοποιηθεί.
Μετά το συμβάν, η συνολική τιμή κλειδωμένη (TVL) πέφτει γρήγορα. Σύμφωνα με ημερομηνία που συντάχθηκε από την DefiLlama, το TVL της Hedera έπεσε στα 24.59 εκατομμύρια δολάρια, μειωμένο κατά περισσότερο από 16% τις τελευταίες 24 ώρες.
Το εγγενές διακριτικό της Hedera, το HBAR, υπέστη επίσης απώλειες άνω του 7% και επί του παρόντος διαπραγματευόταν στα 0.057 $.
Binance Δωρεάν 100 $ (Αποκλειστικά): Χρησιμοποιήστε αυτόν τον σύνδεσμο για να εγγραφείτε και να λάβετε δωρεάν προμήθειες 100 $ και έκπτωση 10% στο Binance Futures τον πρώτο μήνα (όροι).
Ειδική προσφορά PrimeXBT: Χρησιμοποιήστε αυτόν τον σύνδεσμο για να εγγραφείτε και να εισαγάγετε τον κωδικό POTATO50 για να λάβετε έως και 7,000 $ στις καταθέσεις σας.
Πηγή: https://cryptopotato.com/hedera-exploit-attackers-target-smart-contract-service-code/