Une faille de sécurité au final
La blockchain décentralisée proof-of-stake a finalement confirmé une faille de sécurité. Dans une mise à jour, l’équipe derrière la plateforme a révélé que les attaquants ont réussi à exploiter le code Smart Contract Service du réseau principal du protocole pour transférer les jetons Hedera Token Service détenus par les comptes des victimes vers leurs propres comptes. L’équipe a identifié la cause première du problème et travaille actuellement à la recherche d’une solution.
Hedera a également indiqué que les attaquants ont ciblé les comptes qui étaient utilisés comme pools de liquidités sur de multiples échanges décentralisés. Y compris Pangolin, SaucerSwap et HeliSwap qui utilisent le code de contrat dérivé d’Uniswap v2 porté pour utiliser le Hedera Token Service afin de réaliser le vol.
Fermeture du réseau
Hedera a annoncé la fermeture des services de réseau et a initialement invoqué des irrégularités de réseau comme raison. Les proxies du réseau principal sont toujours désactivés pour empêcher l’attaquant de voler plus de jetons, supprimant ainsi l’accès de l’utilisateur au réseau principal.
Une fois la solution prête, les membres du Hedera Council signeront des transactions pour approuver le déploiement d’un code mis à jour sur le mainnet afin de supprimer cette vulnérabilité. Les proxys du mainnet seront alors réactivés, ce qui permettra à l’activité normale de reprendre.
Irrégularités du réseau
Plusieurs applications décentralisées fonctionnant sur le réseau avaient déjà signalé des activités suspectes. La solution cross-chain basée sur Hedera, Hashport bridge, est devenue la première entité à geler les actifs bridgés après avoir détecté des irrégularités dans les contrats intelligents plus tôt cette semaine.
Le cabinet de recherche DeFi, Ignas, a déclaré que l’exploit ciblait le processus de décompilation dans les contrats intelligents. Plusieurs bourses décentralisées basées sur Hedera ont conseillé aux utilisateurs de retirer leurs fonds. Mais plus tard, SaucerSwap a confirmé qu’il n’était pas affecté et a demandé aux utilisateurs de ne pas retirer de liquidités de la plateforme.
Cependant, Justin Trollip, chef de Pangolin, a déclaré que la bourse décentralisée avait été vidée de 2′ 000 dollars, en plus des 2’000 dollars de HeliSwap. Quelques heures plus tard, il a reçu des informations suggérant qu’une somme supplémentaire de 100’000 dollars avait été volée. Les attaquants n’ont pas réussi à transférer leurs fonds hors d’Hedera car ils n’avaient plus accès aux jetons Hashport. Leur plan de sortie vers Ethereum a également été compromis, grâce aux efforts conjoints des équipes.
Cependant, les attaquants ont ensuite tenté de transférer leurs fonds vers ChangeNow.io et Godex.io. Selon Trollip, un membre de l’équipe aurait contacté les bourses de crypto-monnaies centralisées pour mettre fin à l’activité et les autorités ont été alertées.
À la suite de l’incident, la valeur totale bloquée (TVL) chute rapidement. Selon les données compilées par DefiLlama, la TVL de Hedera est tombée à 24.59 millions de dollars, soit une baisse de plus de 16% au cours des dernières 24 heures.
