ヘデラにハッキング攻撃　分散型取引所の流動性プールが標的に

ヘデラがハッキング攻撃を報告

DLT（分散型台帳技術）の開発・提供を手がけるへデラ（HBAR）は10日、ヘデラのスマートコントラクトの脆弱性を利用したハッキング攻撃があったと報告した。

Today, attackers exploited the Smart Contract Service code of the Hedera mainnet to transfer Hedera Token Service tokens held by victims’ accounts to their own account. (1/6)

— Hedera (@hedera) March 10, 2023

攻撃者は、ヘデラ・メインネットのスマートコントラクトサービスのコードにおける脆弱性を悪用して、被害を受けたアカウントが保有していた、ヘデラ・トークンサービス（HTS）トークンを、自分のアカウントに転送している。

この際、攻撃者は分散型取引所（DEX）ユーザーのアカウントを介して資金を盗んだ。

ヘデラトークンを、クロスチェーンブリッジによってプラットフォームに移植していた分散型取引所の流動性プールがターゲットになった形だ。Uniswap v2由来のコントラクトコードを使用する、Pangolin、SaucerSwap、HeliSwapなどのアカウントが攻撃を受けている。

プラットフォーム側はこれに対して迅速に対応した。攻撃者が、盗んだ資金を、クロスチェーン送金を実現するhashport（ハッシュポート）のブリッジを介して外に移そうとした際、ハッシュポートのチームはこれに気付き、送金を無効にしている。

攻撃者がさらにトークンを盗むことができないように、ヘデラは一時的にメインネットのプロキシーをオフにして、ユーザーがメインネットへアクセスできないようにした。現在、チームはこの問題の根本原因を特定して解決するために動いているところだ。

最終的に、流出した資金があったかどうかなど、現在のところ詳細はまだ明かされていない。

ヘデラは、今後の見通しについても説明。解決策が整い次第、ヘデラの運営組織であるHedera Council（ヘデラ評議会）のメンバーは、新たなコードの実装を承認する手続きを行う。メインネットのプロキシ―は、その時にオンに戻され、通常の活動が再開できる見込みだ。

なお、ヘデラのスマートコントラクトサービスは、イーサリアム（ETH）互換アプリを実行するために、ヘデラのネットワークに統合されているレイヤーである。また、ヘデラ・トークンサービスは、企業などがヘデラのプラットフォーム上でトークンを構築・発行できるようにするものだ。

9日時点で警告

ヘデラ財団や、Pangolinなど今回影響を受けた分散型取引所は、9日時点でユーザーに警告を発していた。

Due to some Hedera network irregularities, Hashport has paused their bridge, and we'd encourage anyone with HTS tokens in Pangolin Pools and Farms to withdraw immediately.

This is a time critical moment, so we'll update as soon as we have more information

— Pangolin Hedera (@Pangolin_Hedera) March 9, 2023

Pangolinは、ヘデラネットワークに不正な動きがあるため、ハッシュポートがブリッジを停止していると述べ、「Pangolinの流動性プールなどにHTSトークンを預けている者はすぐに引き出す」よう勧告している。

また、SaucerSwapも9日に、ヘデラネットワークに攻撃があったと知らせている。「SaucerSwapユーザーが資金を盗まれたという報告はまだないが、予防措置として、直ちに資産を引き出すことを勧める」としていた。