Decentralizētā likmju pierādīšanas (PoS) blokķēde Hedera beidzot apstiprināja drošības pārkāpumu. Atjauninājumā platformas komanda atklāja, ka uzbrucējiem izdevās izmantot protokola galvenā tīkla Smart Contract Service kodu, lai pārsūtītu upuru kontos esošos Hedera Token Service marķierus uz saviem kontiem.
Tajā teikts, ka komanda ir identificējusi problēmas galveno cēloni un strādā pie risinājuma.
Hedera Exploit
Hedera arī atzīmēja, ka uzbrucēji mērķēja uz tiem kontiem, kas tika izmantoti kā likviditātes kopumi vairākās decentralizētās biržās, tostarp Pangolin, SaucerSwap un HeliSwap, kas izmanto Uniswap v2 atvasinātu līguma kodu, kas pārnests, lai izmantotu Hedera Token Service zādzības veikšanai.
Hedera paziņoja par tīkla pakalpojumu slēgšanu un sākotnēji kā iemeslu minēja "tīkla pārkāpumus". Pēdējā apstiprinājumā vītne platformas ievietojis, tajā teikts, ka galvenā tīkla starpniekserveri joprojām ir izslēgti, lai neļautu uzbrucējam nozagt vairāk marķieru, tādējādi liedzot lietotāja piekļuvi galvenajam tīklam. Šobrīd komanda strādā pie risinājuma.
"Kad risinājums būs gatavs, Hedera padomes locekļi parakstīs darījumus, lai apstiprinātu atjauninātā koda izvietošanu galvenajā tīklā, lai novērstu šo ievainojamību, un tad tīkla starpniekserveri tiks atkal ieslēgti, ļaujot atsākt normālu darbību."
Tīkla pārkāpumi
Vairākas decentralizētas lietojumprogrammas, kas darbojas tīklā, iepriekš bija atzīmējušas aizdomīgas darbības. Uz Hedera balstīts šķērsķēžu risinājums, Hašportas tilts, kļuva pirmā iestāde, kas iesaldēja apvienotos aktīvus pēc tam, kad šīs nedēļas sākumā atklāja viedo līgumu pārkāpumus.
Līdz šim ekspluatācija ir skārusi Hedera Token Service (HTS) un Hedera Consensus Service (HCS).
DeFi pētījumu firma, Ignas teica izmantošana ir vērsta uz "viedo līgumu dekompilēšanas procesu". No otras puses, vairākas Hedera bāzes decentralizētas apmaiņas ieteicams lietotājiem izņemt savus līdzekļus. Bet vēlāk SaucerSwap apstiprināts izmantošana to neietekmēja, un lietotāji lūdza neizņemt likviditāti no platformas.
Tomēr Pangolina vadītājs Džastins Trolips Noteikts ka decentralizētajai biržai tika iztērēti 20,000 2,000 USD, papildus 100 USD no HeliSwap. Pēc dažām stundām viņš saņēma informāciju, kas liecināja, ka tika nozagti vēl XNUMX XNUMX. Uzbrucējiem neizdevās pārvietot savus līdzekļus no Hedera, jo viņiem vairs nebija piekļuves apturētajiem Hashport marķieriem. Pateicoties komandu kopīgajiem centieniem, tika apdraudēts arī viņu izejas plāns no Ethereum.
Tomēr pēc tam uzbrucēji sāka mēģināt pārvietot savus līdzekļus uz ChangeNow.io un Godex.io. Saskaņā ar Trollip teikto, komandas loceklis ir sazinājies ar centralizētajām kriptovalūtu biržām, lai apturētu darbību, un varas iestādes ir brīdinātas.
Pēc incidenta kopējā bloķētā vērtība (TVL) strauji krītas. Saskaņā ar dati apkopojis DefiLlama, Hedera TVL samazinājās līdz 24.59 miljoniem ASV dolāru, kas ir par vairāk nekā 16% pēdējo 24 stundu laikā.
Hedera vietējais marķieris HBAR arī cieta vairāk nekā 7% zaudējumus un pašlaik tirgojās par USD 0.057.
Binance bezmaksas 100 $ (ekskluzīvi): Izmantojiet šo saiti reģistrēties un saņemt USD 100 bez maksas un 10% atlaidi Binance Futures pirmajā mēnesī (noteikumi).
PrimeXBT īpašais piedāvājums: Izmantojiet šo saiti lai reģistrētos un ievadītu POTATO50 kodu, lai saņemtu līdz 7,000 USD par saviem noguldījumiem.
Avots: https://cryptopotato.com/hedera-exploit-attackers-target-smart-contract-service-code/