去中心化的權益証明(PoS)區塊鏈 Hedera 最終確認了一個安全漏洞。Hedera 平颱背後的團隊在最新更新中透露,攻擊者成功利用協議主網的智能合約服務代碼,將受害者賬戶中持有的 Hedera 代幣服務(HTS)代幣轉移到自己的賬戶中。
Hedera 表示,問題的根本原因已經被團隊識別,並且解決方案正在製定中。Hedera 進一步指出,攻擊者的目標是用作多個去中心化交易所(包括 Pangolin、SaucerSwap 和 HeliSwap)流動性池的賬戶,這些賬戶使用了移植的 Uniswap v2 衍生合約代碼來利用 Hedera 代幣服務進行盜竊。
爲了應對這一漏洞,Hedera 宣佈暫停網絡服務,最初以“網絡異常”爲由。根據平颱最新髮佈的確認信息,主網代理仍然處於停運狀態,以防止攻擊者進一步盜竊代幣,因此限製了用戶訪問主網的權限。團隊目前正在努力解決這一問題。
“當解決方案準備好後,Hedera 理事會成員將籤署交易批準更新代碼的部署,解決這一漏洞,屆時主網代理將重新開放,恢複正常活動。”之前,幾個在該網絡上運行的去中心化應用程序已標示出可疑活動。基於 Hedera 的跨鏈解決方案 Hashport Bridge 在本週早些時候髮現智能合約漏洞後,成爲首個凍結橋接資産的實體。
到目前爲止,Hedera 代幣服務(HTS)和 Hedera 共識服務(HCS)已受到該漏洞的影響。
DeFi 研究公司 Ignas 表示,漏洞攻擊了“智能合約中的反編譯過程”。另一方麵,一些基於 Hedera 的去中心化交易所建議用戶提取資金。但隨後,SaucerSwap 確認其未受到該漏洞影響,並要求用戶不要從平颱提取流動性。
然而,Pangolin CEO Justin Trollip 表示,除了 HeliSwap 的 2,000 美元損失外,該去中心化交易所還損失了 20,000 美元。幾小時後,他收到了消息稱又有 10 萬美元被盜。攻擊者無法將資金從 Hedera 提取,因爲他們無法訪問已暫停的 Hashport 代幣。由於團隊的共同努力,他們原計劃退出以太坊的計劃也被破壞。然而,攻擊者隨後開始嚐試將資金轉移到 ChangeNow.io 和 Godex.io。根據 Trollip 的説法,團隊成員已聯繫了這些中心化加密貨幣交易所,要求暫停活動,並已向相關部門報告。
事件髮生後,Hedera 的總鎖倉價值(TVL)迅速下降。根據 DefiLlama 收集的數據,Hedera 的 TVL 降至 2,459 萬美元,過去 24 小時下降了超過 16%。Hedera 的本地代幣 HBAR 也遭遇了超過 7% 的損失,目前交易價格爲 0.057 美元。
