Hedera Mainnet Smart Contract Service

Am 9. März 2023 erlitt Hedera Hashgraph einen netzwerk-ebenen Smart-Contract-Service-Exploit — rund 515.000 $ aus Liquiditätspools (SaucerSwap, Pangolin, HeliSwap) auf Hedera abgezogen. Der Bug lag im Code des Hedera Smart Contract Service, der Ethereum-artige Aufrufe in Hedera-Token-Service-Operationen dekompiliert, und ließ den Angreifer HTS-Tokens während der Contract-Ausführung aus Opfer-Konten transferieren. Hedera pausierte das gesamte Mainnet als Reaktion.

Was geschah

Hederas EVM-Kompatibilitätsschicht übersetzt Solidity-artige Token-Aufrufe in native Hedera-Token-Service-Operationen. Ein Fehler in diesem Übersetzungs-/Dekompilierungs-Code erlaubte einem Angreifer, HTS-Tokens, die von Liquiditätspool-Konten gehalten wurden, während ansonsten normaler Contract-Interaktionen zu bewegen. Das Hedera Council unternahm den ungewöhnlichen Schritt, Mainnet-Proxies abzuschalten (das Netzwerk zu pausieren), während der Kern-Bug gepatcht wurde.

Folgen

• Hedera pausierte Mainnet, patchte den Smart Contract Service und nahm den Betrieb nach Fix-Verifikation wieder auf.
• Betroffene DEXs und das Council koordinierten Remediation; teilweise Wiederherstellung.

Warum es wichtig ist

Hedera ist einer der wenigen Netzwerk-/Protokoll-ebenen-Einträge im Katalog (neben dem Saga-Ethermint-Bug) statt eines Applikations-Contract-Bugs. Die Schwachstelle lag in der eigenen EVM-Kompatibilitäts-Implementierung der Chain — nicht in einer deployten dApp. Sie bekräftigt ein Thema aus SagaEVM: Alt-EVM- und EVM-Compat-Schichten tragen ihre eigene Angriffsfläche jenseits des kanonischen go-ethereum, und ein Bug dort betrifft jeden Contract auf der Chain gleichzeitig. Die drastische Reaktion — das gesamte Netzwerk zu pausieren — steht nur Chains mit ausreichend zentralisierter Governance zur Verfügung — derselbe Trade-off wie bei Sui/Cetus und Terra/Astroport.