Hedera 是分布式账本 Hedera Hashgraph 背后的团队,已确认 Hedera 主网上的智能合约漏洞已导致多个流动资金池代币被盗。
Hedera 表示,攻击者的目标是去中心化交易所 (DEX) 上的流动性池代币,这些代币从以太坊上的 Uniswap v2 派生代码,该代币被移植到 Hedera 代币服务上使用。
今天,攻击者利用 Hedera 主网的智能合约服务代码,将受害者账户持有的 Hedera Token Service 代币转移到自己的账户中。 (1/6)
——常春藤 (@ivy) 2023 年 3 月 10 日
Hedera 团队解释说,当攻击者试图将被盗代币转移到 Hashport 桥上时,检测到可疑活动,该桥由 SaucerSwap、Pangolin 和 HeliSwap 上的流动性池代币组成。 然而,运营商随后迅速采取行动,暂时停桥。
Hedera 没有确认被盗代币的数量。
2 月 3 日,常春藤 升级 将以太坊虚拟机 (EVM) 兼容的智能合约代码转换为 Hedera 令牌服务 (HTS) 的网络。
这个过程的一部分涉及将以太坊合约字节码反编译为 HTS,这是 基于 Hedera 的 DEX 飞碟交换 相信 攻击向量来自。 然而,Hedera 在其最近的帖子中并未证实这一点。
早些时候,Hedera 在 3 月 9 日通过关闭 IP 代理成功地关闭了网络访问。该团队表示,它已经确定了漏洞利用的“根本原因”,并且正在“研究解决方案”。
为了防止攻击者能够窃取更多代币,Hedera 关闭了主网代理,这会删除用户对主网的访问权限。 该团队已确定问题的根本原因并正在研究解决方案。 (5/6)
——常春藤 (@ivy) 2023 年 3 月 10 日
“一旦解决方案准备就绪,Hedera 委员会成员将签署交易以批准在主网上部署更新代码以消除此漏洞,届时将重新打开主网代理,从而恢复正常活动,”该团队补充道。
由于 Hedera 在发现潜在漏洞后不久就关闭了代理,该团队 建议 代币持有者在 hashscan.io 上检查其帐户 ID 和以太坊虚拟机 (EVM) 地址上的余额,以获得他们自己的“安慰”。
在此停机期间,所有 HashPack 功能都将不可用 https://t.co/ngaRmg00Zi
— HashPack 钱包 (@HashPackApp) 2023 年 3 月 9 日
有关的: Hedera 管理委员会购买哈希图 IP 和开源项目的代码
网络代币 Hedera 的价格(HBAR) 自事件发生大约 16 小时前以来下跌了 7%,与 大盘在过去 24 小时内下跌。
然而,在同一时间段内,SaucerSwap 上的总锁定价值 (TVL) 下降了近 30%,从 2070 万美元降至 1458 万美元:
下跌表明,在对潜在漏洞进行初步讨论后,大量代币持有者迅速采取行动并撤回资金。
该事件可能破坏了该网络的一个重要里程碑, 常春藤主网 3 月 9 日超过 50 亿笔交易。
#常春藤:50 亿次主网交易!
真实交易。 实际应用。 真实世界 #公用事业. 你在看吗?
我们正在见证 #分布式账本技术 采用前所未有的规模。
这仅仅是个开始。 pic.twitter.com/n0TbWTJmC0
——常春藤 (@ivy) 2023 年 3 月 8 日
这似乎是 Hedera 自 2017 年 7 月推出以来首次报告的网络漏洞利用。