A blockchain descentralizada de proof-of-stake (PoS) Hedera finalmente confirmou uma violação de segurança. Em uma atualização, a equipe por trás da plataforma revelou que os invasores conseguiram explorar o código do Smart Contract Service da rede principal do protocolo para transferir os tokens do Hedera Token Service mantidos pelas contas das vítimas para as suas próprias.
Ele disse que a causa raiz do problema foi identificada pela equipe e está trabalhando em uma solução.
Exploit Hedera
Hedera observou ainda que os invasores visaram as contas que foram usadas como pools de liquidez em várias exchanges descentralizadas – incluindo Pangolin, SaucerSwap e HeliSwap – que utilizam o código de contrato derivado do Uniswap v2 transferido para usar o Hedera Token Service para realizar o roubo.
Hedera anunciou o desligamento dos serviços de rede e inicialmente citou a ocorrência de “irregularidades na rede” como motivo. Na última confirmação fio postado pela plataforma, ele disse que os proxies da rede principal ainda estão desativados para impedir que o invasor roube mais tokens, removendo assim o acesso do usuário à rede principal. A equipe está atualmente trabalhando em uma solução.
“Assim que a solução estiver pronta, os membros do Conselho Hedera assinarão transações para aprovar a implantação do código atualizado na rede principal para remover essa vulnerabilidade, momento em que os proxies da rede principal serão reativados, permitindo a retomada da atividade normal.”
Irregularidades de rede
Vários aplicativos descentralizados em execução na rede já sinalizaram atividades suspeitas. Solução de cadeia cruzada baseada em Hedera, ponte Hashport, passou a ser a primeira entidade a congelar ativos em ponte após detectar irregularidades em contratos inteligentes no início desta semana.
Até agora, o Hedera Token Service (HTS) e o Hedera Consensus Service (HCS) foram afetados pela exploração.
Empresa de pesquisa DeFi, Ignas dito o exploit tem como alvo o “processo de descompilação em contratos inteligentes”. Várias exchanges descentralizadas baseadas em Hedera, por outro lado, aconselhado usuários retirem seus fundos. Mas depois, SaucerSwap confirmado não foi afetado pela exploração e pediu aos usuários que não retirassem liquidez da plataforma.
No entanto, o chefe do Pangolin, Justin Trollip estabelecido que a troca descentralizada foi drenada de $ 20,000, além de $ 2,000 da HeliSwap. Horas depois, ele recebeu informações sugerindo que mais 100 mil foram roubados. Os invasores não conseguiram transferir seus fundos da Hedera, pois não tinham mais acesso aos tokens Hashport pausados. Seu plano de saída para o Ethereum também foi comprometido, graças aos esforços conjuntos das equipes.
No entanto, os invasores começaram a tentar transferir seus fundos para ChangeNow.io e Godex.io. De acordo com Trollip, um membro da equipe entrou em contato com as exchanges de criptomoedas centralizadas para interromper a atividade e as autoridades foram alertadas.
Após o incidente, o valor total bloqueado (TVL) está caindo rapidamente. De acordo com dados, compilado pelo DefiLlama, o TVL de Hedera caiu para $ 24.59 milhões, uma queda de mais de 16% nas últimas 24 horas.
O token nativo da Hedera, HBAR, também sofreu perdas de mais de 7% e estava sendo negociado a US$ 0.057.
Binance Grátis $ 100 (Exclusivo): Use este link para se registrar e receber $ 100 grátis e 10% de desconto nas taxas do Binance Futures no primeiro mês (condições).
Oferta especial PrimeXBT: Use este link para se registrar e inserir o código POTATO50 para receber até $ 7,000 em seus depósitos.
Fonte: https://cryptopotato.com/hedera-exploit-attackers-target-smart-contract-service-code/