Smart Contract Service de Hedera mainnet

Le 9 mars 2023, Hedera Hashgraph a subi un exploit du service smart contract au niveau réseau — environ 515 K$ drainés des pools de liquidité (SaucerSwap, Pangolin, HeliSwap) sur Hedera. Le bug se trouvait dans le code du Smart Contract Service de Hedera qui décompile les appels de style Ethereum en opérations Hedera Token Service, permettant à l'attaquant de transférer des tokens HTS depuis les comptes des victimes pendant l'exécution du contrat. Hedera a mis en pause tout le mainnet en réponse.

Ce qui s'est passé

La couche de compatibilité EVM de Hedera traduit les appels de tokens de style Solidity en opérations natives du Hedera Token Service. Une faille dans ce code de traduction/décompilation a permis à un attaquant de déplacer des tokens HTS détenus par les comptes de pools de liquidité pendant des interactions de contrat par ailleurs normales. Le conseil Hedera a pris la mesure inhabituelle de désactiver les proxies du mainnet (mise en pause du réseau) pendant que le bug principal était patché.

Conséquences

• Hedera a mis en pause le mainnet, patché le Smart Contract Service et repris après vérification du correctif.
• Les DEX affectés et le conseil ont coordonné la remédiation ; récupération partielle.

Pourquoi c'est important

Hedera est l'une des rares entrées du catalogue au niveau réseau/protocole (aux côtés du bug Ethermint de Saga) plutôt qu'un bug de contrat d'application. La vulnérabilité était dans l'implémentation EVM-compat de la chaîne elle-même — pas dans une dApp déployée. Cela renforce un thème de SagaEVM : les couches alt-EVM et EVM-compat portent leur propre surface d'attaque au-delà de go-ethereum canonique, et un bug là s'applique à chaque contrat de la chaîne à la fois. La réponse drastique — mettre en pause le réseau entier — n'est disponible que pour les chaînes avec une gouvernance suffisamment centralisée, le même compromis vu chez Sui/Cetus et Terra/Astroport.