Hedera Hashgraph adalah teknologi ledger terdistribusi yang menawarkan waktu transaksi lebih cepat dan biaya lebih rendah daripada blockchain tradisional. Mainnetnya mendukung smart contract dan aplikasi terdesentralisasi, dan telah mendapatkan popularitas di antara klien perusahaan karena skalabilitas dan fitur keamanannya.
Namun, pada 10 Maret 2023, tim Hedera mengonfirmasi eksploitasi smart contract di mainnetnya yang menyebabkan pencurian beberapa token kumpulan likuiditas. Serangan itu menargetkan token kumpulan likuiditas pada pertukaran terdesentralisasi (DEX) yang menggunakan kode yang berasal dari Uniswap v2 di Ethereum, yang dipindahkan untuk digunakan pada Layanan Token Hedera.
Vektor serangan diyakini berasal dari proses konversi kode kontrak pintar yang kompatibel dengan Ethereum Virtual Machine (EVM) ke Hedera Token Service (HTS). Sebagai bagian dari proses ini, bytecode kontrak Ethereum didekompilasi ke HTS. DEX SaucerSwap yang berbasis di Hedera percaya bahwa dari sinilah vektor serangan berasal, tetapi Hedera belum mengonfirmasi hal ini.
Aktivitas mencurigakan terdeteksi saat penyerang berusaha memindahkan token yang dicuri melintasi jembatan Hashport, yang terdiri dari token kumpulan likuiditas di SaucerSwap, Pangolin, dan HeliSwap. Operator segera bertindak untuk menjeda sementara jembatan, mencegah penyerang memindahkan token yang dicuri lebih jauh.
Hedera belum mengonfirmasi jumlah pasti token yang dicuri, tetapi tim sedang mengerjakan solusi untuk menghilangkan kerentanan. Pada tanggal 9 Maret, Hedera berhasil mematikan akses jaringan dengan mematikan proksi IP, dan sejak saat itu telah mengidentifikasi “akar penyebab” dari eksploitasi tersebut.
Solusinya diharapkan akan segera siap, dan setelah selesai, anggota Dewan Hedera akan menandatangani transaksi untuk menyetujui penerapan kode yang diperbarui di mainnet untuk menghilangkan kerentanan. Setelah penerapan, proksi mainnet akan diaktifkan kembali, memungkinkan aktivitas normal dilanjutkan.
Sementara itu, Hedera telah menyarankan agar pemegang token memeriksa saldo pada ID akun mereka dan alamat Ethereum Virtual Machine (EVM) di hashscan.io untuk “kenyamanan” mereka sendiri. Harga token jaringan, Hedera (HBAR), telah turun 7% sejak insiden tersebut, sejalan dengan penurunan pasar yang lebih luas selama 24 jam terakhir.
Insiden tersebut menyoroti risiko eksploitasi kontrak pintar di jaringan blockchain dan pentingnya langkah-langkah keamanan untuk mencegah serangan semacam itu. Tanggapan Hedera terhadap eksploitasi tersebut cepat dan proaktif, dan sedang bekerja untuk memulihkan keamanan dan fungsionalitas jaringan sesegera mungkin.
Sumber: https://blockchain.news/news/hedera-mainnet-exploitedleading-to-theft-of-liquidity-pool-tokens