Smart Contract Service de Hedera mainnet

El 9 de marzo de 2023, Hedera Hashgraph sufrió un exploit a nivel de red del smart-contract-service: aproximadamente 515.000 dólares drenados de pools de liquidez (SaucerSwap, Pangolin, HeliSwap) en Hedera. El bug estaba en el código del Hedera Smart Contract Service que decompila llamadas estilo Ethereum a operaciones del Hedera Token Service, dejando al atacante transferir tokens HTS de cuentas víctima durante la ejecución del contrato. Hedera pausó toda la mainnet en respuesta.

Qué ocurrió

La capa de compatibilidad EVM de Hedera traduce llamadas de tokens estilo Solidity a operaciones nativas del Hedera Token Service. Un fallo en este código de traducción/decompilación permitió a un atacante mover tokens HTS retenidos por cuentas de pool de liquidez durante interacciones de contrato normales. El consejo de Hedera tomó la medida inusual de apagar los proxies de mainnet (pausar la red) mientras se parcheaba el bug central.

Consecuencias

• Hedera pausó la mainnet, parcheó el Smart Contract Service y reanudó tras la verificación del arreglo.
• Los DEX afectados y el consejo coordinaron la remediación; recuperación parcial.

Por qué importa

Hedera es una de las pocas entradas del catálogo a nivel de red/protocolo (junto al bug Ethermint de Saga) en vez de un bug de contrato de aplicación. La vulnerabilidad estaba en la propia implementación de compatibilidad EVM de la cadena, no en ninguna dApp desplegada. Refuerza un tema de SagaEVM: las capas alt-EVM y EVM-compat llevan su propia superficie de ataque más allá del go-ethereum canónico, y un bug allí aplica a todos los contratos de la cadena a la vez. La respuesta drástica —pausar toda la red— solo está disponible para cadenas con gobernanza suficientemente centralizada, el mismo trade-off visto en Sui/Cetus y Terra/Astroport.