Hedera Hashgraph es una tecnología de registro distribuido que ofrece tiempos de transacción más rápidos y tarifas más bajas que las cadenas de bloques tradicionales. Su red principal admite contratos inteligentes y aplicaciones descentralizadas, y ha ganado popularidad entre los clientes empresariales debido a sus funciones de escalabilidad y seguridad.
Sin embargo, el 10 de marzo de 2023, el equipo de Hedera confirmó un exploit de contrato inteligente en su red principal que condujo al robo de varios tokens del fondo de liquidez. El ataque se centró en los tokens del grupo de liquidez en los intercambios descentralizados (DEX) que usan un código derivado de Uniswap v2 en Ethereum, que fue transferido para su uso en Hedera Token Service.
Se cree que el vector de ataque provino del proceso de convertir el código de contrato inteligente compatible con Ethereum Virtual Machine (EVM) en Hedera Token Service (HTS). Como parte de este proceso, el código de bytes del contrato de Ethereum se descompila en el HTS. El DEX SaucerSwap, basado en Hedera, cree que aquí es de donde vino el vector de ataque, pero Hedera no lo ha confirmado.
La actividad sospechosa se detectó cuando el atacante intentó mover los tokens robados a través del puente Hashport, que consiste en tokens de fondos de liquidez en SaucerSwap, Pangolin y HeliSwap. Los operadores actuaron rápidamente para pausar temporalmente el puente, evitando que el atacante siguiera moviendo las fichas robadas.
Hedera no ha confirmado la cantidad exacta de tokens robados, pero el equipo está trabajando en una solución para eliminar la vulnerabilidad. El 9 de marzo, Hedera logró cerrar el acceso a la red apagando los proxies de IP y desde entonces ha identificado la "causa raíz" del exploit.
Se espera que la solución esté lista pronto y, una vez que lo esté, los miembros del Consejo de Hedera firmarán transacciones para aprobar la implementación del código actualizado en la red principal para eliminar la vulnerabilidad. Después de la implementación, los servidores proxy de la red principal se volverán a encender, lo que permitirá que se reanude la actividad normal.
Mientras tanto, Hedera sugirió que los poseedores de tokens verifiquen los saldos en su ID de cuenta y la dirección de la máquina virtual Ethereum (EVM) en hashscan.io para su propia "comodidad". El precio del token de la red, Hedera (HBAR), ha caído un 7 % desde el incidente, en línea con la caída general del mercado en las últimas 24 horas.
El incidente destaca los riesgos de las explotaciones de contratos inteligentes en las redes blockchain y la importancia de las medidas de seguridad para prevenir tales ataques. La respuesta de Hedera al exploit ha sido rápida y proactiva, y está trabajando para restaurar la seguridad y la funcionalidad de la red lo antes posible.
Fuente: https://blockchain.news/news/hedera-mainnet-exploitedleading-to-theft-of-liquidity-pool-tokens