去中心化的权益证明(PoS)区块链 Hedera 最终确认了一个安全漏洞。Hedera 平台背后的团队在最新更新中透露,攻击者成功利用协议主网的智能合约服务代码,将受害者账户中持有的 Hedera 代币服务(HTS)代币转移到自己的账户中。
Hedera 表示,问题的根本原因已经被团队识别,并且解决方案正在制定中。Hedera 进一步指出,攻击者的目标是用作多个去中心化交易所(包括 Pangolin、SaucerSwap 和 HeliSwap)流动性池的账户,这些账户使用了移植的 Uniswap v2 衍生合约代码来利用 Hedera 代币服务进行盗窃。
为了应对这一漏洞,Hedera 宣布暂停网络服务,最初以“网络异常”为由。根据平台最新发布的确认信息,主网代理仍然处于停运状态,以防止攻击者进一步盗窃代币,因此限制了用户访问主网的权限。团队目前正在努力解决这一问题。
“当解决方案准备好后,Hedera 理事会成员将签署交易批准更新代码的部署,解决这一漏洞,届时主网代理将重新开放,恢复正常活动。”之前,几个在该网络上运行的去中心化应用程序已标示出可疑活动。基于 Hedera 的跨链解决方案 Hashport Bridge 在本周早些时候发现智能合约漏洞后,成为首个冻结桥接资产的实体。
到目前为止,Hedera 代币服务(HTS)和 Hedera 共识服务(HCS)已受到该漏洞的影响。
DeFi 研究公司 Ignas 表示,漏洞攻击了“智能合约中的反编译过程”。另一方面,一些基于 Hedera 的去中心化交易所建议用户提取资金。但随后,SaucerSwap 确认其未受到该漏洞影响,并要求用户不要从平台提取流动性。
然而,Pangolin CEO Justin Trollip 表示,除了 HeliSwap 的 2,000 美元损失外,该去中心化交易所还损失了 20,000 美元。几小时后,他收到了消息称又有 10 万美元被盗。攻击者无法将资金从 Hedera 提取,因为他们无法访问已暂停的 Hashport 代币。由于团队的共同努力,他们原计划退出以太坊的计划也被破坏。然而,攻击者随后开始尝试将资金转移到 ChangeNow.io 和 Godex.io。根据 Trollip 的说法,团队成员已联系了这些中心化加密货币交易所,要求暂停活动,并已向相关部门报告。
事件发生后,Hedera 的总锁仓价值(TVL)迅速下降。根据 DefiLlama 收集的数据,Hedera 的 TVL 降至 2,459 万美元,过去 24 小时下降了超过 16%。Hedera 的本地代币 HBAR 也遭遇了超过 7% 的损失,目前交易价格为 0.057 美元。
