Hedera-მ, გუნდმა, რომელიც დგას განაწილებული წიგნის Hedera Hashgraph-ის უკან, დაადასტურა ჭკვიანი კონტრაქტის ექსპლუატაცია Hedera Mainnet-ზე, რამაც გამოიწვია ლიკვიდობის აუზის რამდენიმე ტოკენის მოპარვა.
ჰედერამ თქვა, რომ თავდამსხმელმა მიზნად ისახავდა ლიკვიდურობის აუზის ტოკენებს დეცენტრალიზებულ ბირჟებზე (DEX), რომლებიც იღებენ მის კოდს Uniswap v2-დან Ethereum-ზე, რომელიც გადატანილი იყო Hedera Token Service-ზე გამოსაყენებლად.
დღეს, თავდამსხმელებმა გამოიყენეს Hedera mainnet-ის Smart Contract Service კოდი, რათა გადასცეს Hedera Token Service ტოკენები, რომლებიც დაცულია მსხვერპლის ანგარიშებში საკუთარ ანგარიშზე. (1/6)
— ჰედერა (@hedera) მარტი 10, 2023
Hedera-ს გუნდმა განმარტა, რომ საეჭვო აქტივობა გამოვლინდა, როდესაც თავდამსხმელი ცდილობდა მოპარული ტოკენების გადატანას Hashport ხიდის გასწვრივ, რომელიც შედგებოდა ლიკვიდურობის აუზის ტოკენებისგან SaucerSwap-ზე, Pangolin-სა და HeliSwap-ზე. თუმცა, ოპერატორებმა მაშინვე იმოქმედეს ხიდის დროებით შეჩერების მიზნით.
ჰედერამ არ დაადასტურა მოპარული ტოკენების რაოდენობა.
3 თებერვალს ჰედერა განახლებული ქსელი, რათა გადაიყვანოს Ethereum ვირტუალური მანქანა (EVM) თავსებადი ჭკვიანი კონტრაქტის კოდი Hedera Token Service-ზე (HTS).
ამ პროცესის ნაწილი მოიცავს Ethereum კონტრაქტის ბაიტეკოდის დეკომპილირებას HTS-ში, სადაც ჰედერაზე დაფუძნებული DEX SaucerSwap მიაჩნია თავდასხმის ვექტორი მოვიდა. თუმცა, ჰედერამ ეს არ დაადასტურა თავის ბოლო პოსტში.
მანამდე ჰედერამ მოახერხა ქსელში წვდომის გათიშვა IP პროქსიების გამორთვით 9 მარტს. გუნდმა განაცხადა, რომ მან დაადგინა ექსპლოიტის „ძირეული მიზეზი“ და „მუშაობს გამოსავალზე“.
იმისათვის, რომ თავდამსხმელს არ შეეძლო მეტი ტოკენის მოპარვა, ჰედერამ გამორთო mainnet proxies, რამაც გააუქმა მომხმარებლის წვდომა მთავარ ქსელში. გუნდმა დაადგინა პრობლემის ძირითადი მიზეზი და მუშაობს გამოსავალზე. (5/6)
— ჰედერა (@hedera) მარტი 10, 2023
„როდესაც გამოსავალი მზად იქნება, Hedera საბჭოს წევრები ხელს მოაწერენ ტრანზაქციებს, რათა დაამტკიცონ განახლებული კოდის განთავსება mainnet-ზე ამ დაუცველობის აღმოსაფხვრელად, რა დროსაც მთავარი ქსელის პროქსი ჩაირთვება, რაც ნორმალური აქტივობის განახლების საშუალებას მისცემს“, - დასძინა გუნდმა.
მას შემდეგ, რაც ჰედერამ გამორთო მარიონეტები გუნდს პოტენციური ექსპლოიტის აღმოჩენისთანავე შესთავაზა ტოკენის მფლობელები ამოწმებენ ნაშთებს თავიანთი ანგარიშის ID-ზე და Ethereum ვირტუალური აპარატის (EVM) მისამართზე hashscan.io-ზე საკუთარი „კომფორტისთვის“.
HashPack-ის ყველა ფუნქცია მიუწვდომელი იქნება ამ დროის განმავლობაში https://t.co/ngaRmg00Zi
— HashPack საფულე (@HashPackApp) მარტი 9, 2023
ამავე თემაზე: Hedera-ს მმართველი საბჭო იყიდის ჰეშგრაფის IP-ს და ღია კოდის პროექტის კოდს
ქსელის ტოკენის ფასი Hedera (ჰბარ) დაეცა 7%-ით დაახლოებით 16 საათის წინ მომხდარი ინციდენტის შემდეგ, შესაბამისად ბაზრის ფართო ვარდნა ბოლო 24 საათის განმავლობაში.
თუმცა, მთლიანი ჩაკეტილი ღირებულება (TVL) SaucerSwap-ზე დაეცა თითქმის 30%-ით 20.7 მილიონი დოლარიდან 14.58 მილიონ დოლარამდე იმავე დროის განმავლობაში:
ვარდნა ვარაუდობს, რომ ტოკენის მფლობელთა მნიშვნელოვანი რაოდენობა სწრაფად იმოქმედა და თანხები ამოიღო პოტენციური ექსპლოიტის თავდაპირველი განხილვის შემდეგ.
ინციდენტმა პოტენციურად გააფუჭა მთავარი ეტაპი ქსელისთვის ჰედერა მეინნეტი 5 მარტს 9 მილიარდ ტრანზაქციას გადააჭარბა.
# ჰედერა: 5 მილიარდი მაგისტრალური ტრანზაქცია!
რეალური გარიგებები. რეალური აპლიკაციები. რეალური სამყარო #სასარგებლო. უყურებ?
ჩვენ მოწმენი ვართ #Dlt შვილად აყვანა უპრეცედენტო მასშტაბით.
Ეს მხოლოდ დასაწყისია. pic.twitter.com/n0TbWTJmC0
— ჰედერა (@hedera) მარტი 8, 2023
როგორც ჩანს, ეს არის პირველი მოხსენებული ქსელის ექსპლუატაცია Hedera-ზე მას შემდეგ, რაც ის 2017 წლის ივლისში დაიწყო.
წყარო: https://cointelegraph.com/news/hedera-confirms-exploit-on-mainnet-led-to-theft-of-service-tokens