Hedera - REKT
Una amenaza nebulosa sacudió todo el ecosistema de Hedera ayer.
El miedo, los rumores y las sospechas se apoderaron de los usuarios y desarrolladores, que intentaban dar sentido al caos.
El "proof-of-stake public ledger", construido sobre la alternativa a la blockchain Hashgraph, vio como un tercio de su TVL cayó desde el ataque, de $36,8M a $24,6M.
La Fundación HBAR anunció “irregularidades en la red” y, dada la naturaleza generalizada del ataque, los usuarios buscaron frenéticamente un refugio seguro para sus fondos.
Dapps de toda la red se vieron afectadas, incluidos los AMM Pangolin y Heliswap. Después de un pánico inicial , SaucerSwap, el AMM más grande, declaró que sus usuarios no se habían visto afectados. El bridge de Hashport fue desactivado en respuesta al ataque.
La falta de certeza provocó el caos, y lo que resultó ser alrededor de $515k robados por el exploiter, se convirtió en $12M en daños al ecosistema.
Más tarde, Hedera anunció que "apagaría los proxies del mainnet , haciéndolo inaccesible" para los usuarios. En el momento de redactar este artículo, Hedera permanece inactiva mientras continúan las investigaciones.
¿Cuándo los usuarios obtendrán algo de claridad?
Los detalles siguen siendo escasos sobre cómo se realizó exactamente el exploit, sin embargo, está claro que el problema estaba en el código smart contract service de la red.
En un hilo de Twitter, Hedera explicó que "El atacante apuntó a cuentas utilizadas como pools de liquidez en múltiples DEXs que usan un código de contrato derivado de Uniswap v2 adaptado para usar el Hedera Token Service ". HTS fue auditado por FP Complete en 2021.
El jefe de Pangolin publicó un informe preliminar que afirma que los teams creían que el exploit “solo afectaba a los tokens de Hashport. Esto resultó ser falso. Una investigación adicional reveló que todos los tokens hts [Hedera Token Service] estaban en riesgo”.
Esto permitió al atacante realizar un burn con los bridged/wrapped tokens, así como eliminar posiciones de LP de los DEXs afectados. Según el informe, algunos fondos se cruzaron a ETH, después de que el equipo de Hashport desactivó el bridge, el atacante recurrió a CEXs.
Dirección del atacante: https://hashscan.io/mainnet/account/0.0.2015717?p2=1
El informe sitúa las pérdidas de Pangolin en $120k. HeliSwap perdió solo $2k, según su resumen de eventos.
Las supuestas direcciones del atacante contienen un total de alrededor de $515k; ~$60k de HBAR y $280k de stablecoins HTS en Hedera, y $175k de ETH en Ethereum.
A pesar de las noticias, el token nativo de la red, HBAR, perdió menos que el resto del mercado (actualmente hundido).
En una industria conocida por la frecuencia de hacks multimillonarios, lograr un equilibrio entre una advertencia clara y sembrar el pánico es complicado.
Especialmente después del fiasco del drenaje de la wallet de MyAlgo la semana pasada, la comprensión de que este incidente no estaba contenido en ningún protocolo estaba destinada a causar caos.
Si bien la pausa de la chain puede haber salvado algunos fondos de los usuarios, es un movimiento preocupante que daña las afirmaciones de legitimidad como plataforma DeFi.
Un vistazo al "órgano de gobierno descentralizado y transparente" de Hedera da una idea del tipo de organizaciones implicadas. Empresas como Boeing, Dell y Ubisoft no nos parecen grandes idealistas de DeFi.
Puede que en los próximos días se aclare como fue exactamente el ataque, pero el daño ya está hecho.
Los usuarios de DeFi se asustan fácilmente…
...y con buena razón.
REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.
dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
aviso legal:
REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.
te podría gustar...
Tapioca DAO - Rekt
Otro día, otro robo de clave privada, otro protocolo rekt. Tapioca DAO en Arbitrum sufre una pérdida de aproximadamente $4.4 millones debido al compromiso de una clave privada. Se han recuperado algunos fondos, aunque el alcance total del daño aún está por verse.
Radiant Capital - Rekt II
Radiant Capital sufre un recorte de $53 millones. ¿Pensabas que los multi-sigs eran seguros? Piénsalo otra vez. La "robusta" configuración 3/11 de Radiant se desplomó como un castillo de naipes. Exploited dos veces en 2024, el futuro de Radiant parece tan brillante como un agujero negro.
Sobreviviendo al Peligro Digital
¿Crees que has dominado el campo minado cripto? Piensa de nuevo. Sobreviviendo al Peligro Digital - La guía rekt para convertir la paranoia en una forma de arte. Es hora de mejorar tus habilidades de supervivencia en cripto.