Дэцэнтралізаваны блокчейн з доказам долі (PoS) Hedera нарэшце пацвердзіў парушэнне бяспекі. У абнаўленні каманда, якая стаіць за платформай, паказала, што зламыснікам удалося выкарыстаць код службы смарт-кантрактаў асноўнай сеткі пратаколу, каб перадаць токены Hedera Token Service, якія захоўваюцца ва ўліковых запісах ахвяр, на свае ўласныя.
У ім гаворыцца, што першапрычына праблемы была выяўлена камандай і працуе над рашэннем.
Hedera Exploit
Hedera таксама адзначыла, што зламыснікі нацэліліся на ўліковыя запісы, якія выкарыстоўваліся ў якасці пулаў ліквіднасці на некалькіх дэцэнтралізаваных біржах, у тым ліку Pangolin, SaucerSwap і HeliSwap, якія выкарыстоўваюць кантрактны код Uniswap v2, перанесены для выкарыстання Hedera Token Service для ажыццяўлення крадзяжу.
Hedera абвясціла аб адключэнні сеткавых службаў і першапачаткова назвала ў якасці прычыны «парушэнні ў сетцы». У апошнім пацверджанні нітка У паведамленні, апублікаваным платформай, гаварылася, што проксі-серверы асноўнай сеткі па-ранейшаму адключаны, каб зламыснік не мог скрасці больш токенаў, тым самым пазбаўляючы доступу карыстальнікаў да асноўнай сеткі. Зараз каманда працуе над рашэннем.
«Пасля таго, як рашэнне будзе гатова, члены савета Hedera падпішуць транзакцыі, каб ухваліць разгортванне абноўленага кода ў асноўнай сетцы для ліквідацыі гэтай уразлівасці, пасля чаго проксі-серверы асноўнай сеткі будуць зноў уключаны, што дазволіць аднавіць нармальную дзейнасць».
Парушэнні ў сетцы
Некалькі дэцэнтралізаваных прыкладанняў, якія працуюць у сетцы, раней адзначалі падазроную актыўнасць. Крос-ланцуговае рашэнне на аснове Hedera, мост Hashport, сталі першая арганізацыя, якая замарозіла перамыкаемыя актывы пасля выяўлення парушэнняў смарт-кантрактаў на пачатку гэтага тыдня.
Да гэтага часу эксплойт пацярпеў ад Hedera Token Service (HTS) і Hedera Consensus Service (HCS).
Даследчая фірма DeFi, Ignas сказаў эксплойт накіраваны на «працэс дэкампіляцыі ў смарт-кантрактах». З іншага боку, некалькі дэцэнтралізаваных біржаў на базе Hedera рэкамендуецца карыстальнікам зняць свае сродкі. Але пазней, SaucerSwap пацверджаны на яго не паўплываў эксплойт, і карыстальнікі папрасілі не здымаць ліквіднасць з платформы.
Тым не менш, начальнік Pangolin Джасцін Троліп заявіў, што з дэцэнтралізаванай біржы было выдаткавана 20,000 2,000 долараў у дадатак да 100 долараў ад HeliSwap. Праз некалькі гадзін ён атрымаў інфармацыю аб тым, што былі скрадзеныя яшчэ XNUMX тысяч. Зламыснікам не ўдалося перавесці свае сродкі з Hedera, паколькі яны больш не мелі доступу да прыпыненых токенаў Hashport. Іх план выхаду на Ethereum таксама быў скампраметаваны дзякуючы сумесным намаганням каманд.
Аднак затым зламыснікі пачалі спрабаваць перавесці свае сродкі на ChangeNow.io і Godex.io. Па словах Троліпа, член каманды, як паведамляецца, звярнуўся да цэнтралізаваных крыптабіржаў, каб спыніць дзейнасць, і ўлады былі папярэджаны.
Пасля інцыдэнту агульнае заблакіраванае значэнне (TVL) хутка падае. У адпаведнасці з gegevens сабраны DefiLlama, TVL Hedera ўпаў да 24.59 мільёна долараў, знізіўшыся больш чым на 16% за апошнія 24 гадзіны.
Родны токен Hedera, HBAR, таксама пацярпеў больш за 7% страт і ў цяперашні час таргаваўся па 0.057 даляра.
Binance бясплатна $100 (эксклюзіў): Выкарыстоўвайце гэтую спасылку каб зарэгістравацца і атрымаць $100 бясплатна і 10% зніжкі на Binance Futures у першы месяц (ўмовы).
Спецыяльная прапанова PrimeXBT: Выкарыстоўвайце гэтую спасылку зарэгістравацца і ўвесці код POTATO50, каб атрымаць да $7,000 на вашыя дэпазіты.
Крыніца: https://cryptopotato.com/hedera-exploit-attackers-target-smart-contract-service-code/