Hedera Hashgraph é uma tecnologia de contabilidade distribuída que oferece tempos de transação mais rápidos e taxas mais baixas do que os blockchains tradicionais. Sua rede principal oferece suporte a contratos inteligentes e aplicativos descentralizados e ganhou popularidade entre os clientes corporativos devido à sua escalabilidade e recursos de segurança.
No entanto, em 10 de março de 2023, a equipe Hedera confirmou uma exploração de contrato inteligente em sua rede principal que levou ao roubo de vários tokens de pool de liquidez. O ataque teve como alvo tokens de pool de liquidez em trocas descentralizadas (DEXs) que usam código derivado do Uniswap v2 no Ethereum, que foi transferido para uso no Hedera Token Service.
Acredita-se que o vetor de ataque tenha vindo do processo de conversão do código de contrato inteligente compatível com Ethereum Virtual Machine (EVM) no Hedera Token Service (HTS). Como parte desse processo, o bytecode do contrato Ethereum é descompilado para o HTS. O DEX SaucerSwap baseado em Hedera acredita que é daí que veio o vetor de ataque, mas Hedera não confirmou isso.
A atividade suspeita foi detectada quando o invasor tentou mover os tokens roubados pela ponte Hashport, que consiste em tokens de pool de liquidez em SaucerSwap, Pangolin e HeliSwap. Os operadores agiram prontamente para pausar temporariamente a ponte, impedindo o invasor de mover os tokens roubados ainda mais.
A Hedera não confirmou a quantidade exata de tokens roubados, mas a equipe está trabalhando em uma solução para remover a vulnerabilidade. Em 9 de março, a Hedera conseguiu desligar o acesso à rede desativando os proxies IP e, desde então, identificou a “causa raiz” da exploração.
Espera-se que a solução esteja pronta em breve e, assim que estiver, os membros do Conselho Hedera assinarão transações para aprovar a implantação do código atualizado na rede principal para remover a vulnerabilidade. Após a implantação, os proxies da rede principal serão reativados, permitindo que a atividade normal seja retomada.
Enquanto isso, Hedera sugeriu que os detentores de token verificassem os saldos em seu ID de conta e no endereço Ethereum Virtual Machine (EVM) em hashscan.io para seu próprio “conforto”. O preço do token da rede, Hedera (HBAR), caiu 7% desde o incidente, em linha com a queda mais ampla do mercado nas últimas 24 horas.
O incidente destaca os riscos de exploração de contratos inteligentes em redes blockchain e a importância de medidas de segurança para prevenir tais ataques. A resposta da Hedera à exploração foi rápida e proativa e está trabalhando para restaurar a segurança e a funcionalidade da rede o mais rápido possível.
Fonte: https://blockchain.news/news/hedera-mainnet-exploitedleading-to-theft-of-liquidity-pool-tokens