Hedera Hashgraph ist eine Distributed-Ledger-Technologie, die schnellere Transaktionszeiten und niedrigere Gebühren als herkömmliche Blockchains bietet. Sein Mainnet unterstützt Smart Contracts und dezentrale Anwendungen und hat aufgrund seiner Skalierbarkeit und Sicherheitsfunktionen bei Unternehmenskunden an Popularität gewonnen.
Am 10. März 2023 bestätigte das Hedera-Team jedoch einen Smart-Contract-Exploit in seinem Mainnet, der zum Diebstahl mehrerer Liquiditätspool-Token führte. Der Angriff zielte auf Liquiditätspool-Token auf dezentralisierten Börsen (DEXs) ab, die Code verwenden, der von Uniswap v2 auf Ethereum abgeleitet wurde, das zur Verwendung auf dem Hedera Token Service portiert wurde.
Es wird angenommen, dass der Angriffsvektor aus dem Prozess der Konvertierung von Ethereum Virtual Machine (EVM)-kompatiblem Smart Contract Code in den Hedera Token Service (HTS) stammt. Als Teil dieses Prozesses wird der Bytecode des Ethereum-Vertrags in das HTS dekompiliert. Das Hedera-basierte DEX SaucerSwap glaubt, dass der Angriffsvektor von dort stammt, aber Hedera hat dies nicht bestätigt.
Die verdächtige Aktivität wurde entdeckt, als der Angreifer versuchte, die gestohlenen Token über die Hashport-Brücke zu bewegen, die aus Liquiditätspool-Token auf SaucerSwap, Pangolin und HeliSwap besteht. Die Betreiber handelten umgehend, um die Brücke vorübergehend anzuhalten und den Angreifer daran zu hindern, die gestohlenen Token weiter zu bewegen.
Hedera hat die genaue Menge der gestohlenen Token nicht bestätigt, aber das Team arbeitet an einer Lösung, um die Schwachstelle zu beseitigen. Am 9. März gelang es Hedera, den Netzwerkzugriff durch das Abschalten von IP-Proxys zu beenden, und seitdem hat es die „Grundursache“ des Exploits identifiziert.
Die Lösung wird voraussichtlich bald fertig sein, und sobald sie fertig ist, werden die Mitglieder des Hedera Council Transaktionen unterzeichnen, um die Bereitstellung von aktualisiertem Code im Mainnet zu genehmigen, um die Schwachstelle zu beseitigen. Nach der Bereitstellung werden die Mainnet-Proxys wieder eingeschaltet, sodass die normale Aktivität wieder aufgenommen werden kann.
In der Zwischenzeit hat Hedera vorgeschlagen, dass Token-Inhaber die Guthaben auf ihrer Konto-ID und Ethereum Virtual Machine (EVM)-Adresse auf hashscan.io zu ihrem eigenen „Komfort“ überprüfen. Der Preis des Tokens des Netzwerks, Hedera (HBAR), ist seit dem Vorfall um 7 % gefallen, im Einklang mit dem breiteren Marktrückgang in den letzten 24 Stunden.
Der Vorfall verdeutlicht die Risiken von Smart-Contract-Exploits in Blockchain-Netzwerken und die Bedeutung von Sicherheitsmaßnahmen zur Verhinderung solcher Angriffe. Hedera hat schnell und proaktiv auf den Exploit reagiert und arbeitet daran, die Sicherheit und Funktionalität des Netzwerks so schnell wie möglich wiederherzustellen.
Quelle: https://blockchain.news/news/hedera-mainnet-exploitedleading-to-theft-of-liquidity-pool-tokens