Das Hedera-Team, das für den verteilten Ledger Hedera Hashgraph verantwortlich ist, hat bestätigt, dass ein Smart Contract im Hedera Mainnet missbraucht wurde, was zum Diebstahl mehrerer Token aus Liquiditätspools führte.
Gezielt auf Liquiditätspool-Token der DEXes
Laut Hedera zielten die Angreifer auf Liquiditätspool-Token auf dezentralen Börsen (DEXs) ab, deren Code auf Uniswap v2 auf Ethereum basierte, und diese wurden zur Verwendung auf den Hedera Token Service übertragen. Über eine Twitter-Nachricht bestätigte Hedera den Exploit.
Das Team von Hedera erklärte, dass verdächtige Aktivitäten bemerkt wurden, als der Angreifer versuchte, die gestohlenen Token über die Hashport-Brücke zu übertragen, die aus Liquiditätspool-Token auf SaucerSwap, Pangolin und HeliSwap bestand. Der Angriff wurde Berichten zufolge schnell von den Betreibern bemerkt, die daraufhin die Brücke vorübergehend abschalteten. Das Hedera-Team hat (noch) nicht bekannt gegeben, wie viele Token genau gestohlen wurden. Die Ermittlungen hierzu dauern möglicherweise noch an.
Today, attackers exploited the Smart Contract Service code of the Hedera mainnet to transfer Hedera Token Service tokens held by victims’ accounts to their own account. (1/6)
— Hedera (@hedera) March 10, 2023
Hedera’s Netzwerk-Upgrade
Am 3. Februar aktualisierte Hedera sein Netzwerk, um Ethereum Virtual Machine (EVM)-kompatiblen Smart-Contract-Code in den Hedera Token Service (HTS) zu konvertieren. Dieses Upgrade beinhaltete die Dekompilierung des Ethereum-Vertrags-Bytecodes in den HTS, von dem der Hedera-basierte DEX SaucerSwap vermutet, dass der Angriffsvektor daher stammt. Die jüngste Nachricht von Hedera hat dies jedoch noch nicht bestätigt.
Zuvor war es Hedera am 9. März gelungen, den Netzwerkzugang durch Deaktivierung von IP-Proxys abzuschalten. Das Team hat nach eigenen Angaben die Ursache für die Schwachstelle gefunden und arbeitet derzeit an einer Lösung.
Das Team fügte Folgendes hinzu: “Sobald der Fix fertig ist, werden die Mitglieder des Hedera-Rates Transaktionen unterzeichnen, um den Einsatz des aktualisierten Codes im Mainnet zu genehmigen, um diese Schwachstelle zu beseitigen, woraufhin die Proxys im Mainnet wieder aktiviert werden und die normale Aktivität wieder aufgenommen werden kann.”
When the attackers moved tokens obtained through these attacks over the @HashportNetwork bridge, the bridge operators detected the activity and took swift action to disable it. (3/6)
— Hedera (@hedera) March 10, 2023
Nachdem Hedera den potenziellen Exploit gefunden und die Proxys deaktiviert hatte, riet das Team schließlich den Token-Inhabern, ihre Konto-ID und die Adresse der Ethereum Virtual Machine (EVM) auf hashscan.io zu überprüfen, um sich selbst zu schützen.