أكدت Hedera أخيرًا وجود خرق أمني. في تحديث ، كشف الفريق الذي يقف وراء المنصة أن المهاجمين تمكنوا من استغلال رمز خدمة العقد الذكي للشبكة الرئيسية للبروتوكول لنقل الرموز المميزة لخدمة Hedera Token التي تحتفظ بها حسابات الضحايا إلى حساباتهم الخاصة.
وقالت إن السبب الجذري للمشكلة تم تحديده من قبل الفريق ، ويعملون على إيجاد حل.
استغلال هيديرا
كما أشار Hedera إلى أن المهاجمين استهدفوا تلك الحسابات التي تم استخدامها كمجمعات سيولة في العديد من التبادلات اللامركزية - بما في ذلك Pangolin و SaucerSwap و HeliSwap - التي تستخدم رمز العقد المشتق من Uniswap v2 الذي تم نقله لاستخدام خدمة Hedera Token لتنفيذ السرقة.
أعلنت Hedera عن إغلاق خدمات الشبكة وأشارت في البداية إلى وجود "مخالفات في الشبكة" كسبب. في آخر تأكيد خيط التي نشرتها المنصة ، قالت إن بروكسيات الشبكة الرئيسية لا تزال مغلقة لمنع المهاجم من سرقة المزيد من الرموز ، وبالتالي إزالة وصول المستخدم إلى الشبكة الرئيسية. يعمل الفريق حاليًا على حل.
"بمجرد أن يصبح الحل جاهزًا ، سيوقع أعضاء مجلس Hedera المعاملات للموافقة على نشر الكود المحدث على الشبكة الرئيسية لإزالة هذه الثغرة الأمنية ، وعند هذه النقطة سيتم إعادة تشغيل بروكسيات الشبكة الرئيسية ، مما يسمح باستئناف النشاط العادي."
مخالفات الشبكة
كانت العديد من التطبيقات اللامركزية التي تعمل على الشبكة قد أبلغت سابقًا عن نشاط مشبوه. حل عبر السلاسل المستندة إلى Hedera ، جسر Hashport ، وأصبح أول كيان يقوم بتجميد الأصول المجمعة بعد اكتشاف مخالفات العقود الذكية في وقت سابق من هذا الأسبوع.
حتى الآن ، تأثرت خدمة Hedera Token (HTS) و Hedera Consensus Service (HCS) بالاستغلال.
شركة أبحاث DeFi ، Ignas محمد الاستغلال هو استهداف "عملية فك التحويل البرمجي في العقود الذكية". العديد من البورصات اللامركزية القائمة على Hedera ، من ناحية أخرى ، نصح المستخدمين لسحب أموالهم. لكن لاحقًا ، استخدم الصحن مؤكد لم يتأثر بالاستغلال وطلب من المستخدمين عدم سحب السيولة من المنصة.
ومع ذلك ، رئيس Pangolin جاستن تروليب ذكر أن التبادل اللامركزي قد استنزف 20,000 دولار ، بالإضافة إلى 2,000 دولار من HeliSwap. بعد ساعات ، تلقى معلومات تشير إلى سرقة 100 ألف إضافية. فشل المهاجمون في نقل أموالهم من Hedera لأنهم لم يعد بإمكانهم الوصول إلى رموز Hashport الموقوفة مؤقتًا. تم اختراق خطة خروجهم من Ethereum أيضًا ، وذلك بفضل الجهود المشتركة للفرق.
ومع ذلك ، بدأ المهاجمون بعد ذلك في محاولة نقل أموالهم إلى ChangeNow.io و Godex.io. وفقًا لـ Trollip ، ورد أن أحد أعضاء الفريق قد تواصل مع بورصات العملات المشفرة المركزية لوقف النشاط ، وتم تنبيه السلطات.
بعد الحادث ، انخفض إجمالي القيمة المقفلة (TVL) بسرعة. وفق البيانات تم جمعها بواسطة DefiLlama ، وانخفض TVL الخاص بـ Hedera إلى 24.59 مليون دولار ، بانخفاض أكثر من 16٪ خلال الـ 24 ساعة الماضية.
كما عانى الرمز الأصلي لـ Hedera ، HBAR ، من خسائر تزيد عن 7٪ ويتم تداوله حاليًا عند 0.057 دولار.
Binance Free 100 دولار (حصري): استخدم هذا الرابط للتسجيل والحصول على 100 دولار مجانًا و 10٪ خصم على رسوم Binance Futures الشهر الأول (سياسة الحجب وتقييد الوصول).
عرض PrimeXBT الخاص: استخدم هذا الرابط للتسجيل وإدخال رمز POTATO50 لتلقي ما يصل إلى 7,000 دولار على ودائعك.
المصدر: https://cryptopotato.com/hedera-exploit-attackers-target-smart-contract-service-code/