Decentralizovaný finanční protokol Convergence potvrdil, že byl 1. srpna hacknut prostřednictvím chytré smlouvy, kdy hacker vytěžil a prodal 210 milionů dolarů v jeho nativním tokenu a také ukradl 2 000 dolarů v nevyžádaných odměnách za sázky.

Podle nově zveřejněné pitvy od Wiresharka, pseudonymního zakladatele protokolu Convergence, hacker zneužil smlouvu protokolu CvxRewardDistributor, která jim umožnila razit a prodávat 58 milionů tokenů CVG za přibližně 210 000 $.

Hacker také ukradl přibližně 2 000 dolarů nevyzvednutých odměn z Convex, protokolu DeFi určeného k maximalizaci odměn pro poskytovatele likvidity Curve.

Podle Etherscan k útoku došlo 1. srpna kolem 3:00 UTC.

Blockchainová bezpečnostní firma PeckShield poznamenala, že po vyražení CVG tokenů je hacker rychle vyměnil za 60 obalených etherů a 15 900 Curve.fi FRAX.

Tyto pohyby od té doby vedly k téměř 100% cenovému vymazání tokenu řízení CVG, který se nyní obchoduje za 0,0004 USD s tržní kapitalizací pouhých 57 000 USD. Data CoinMarketCap ukazují.

Jak k hacku došlo

Convergence uvedl, že útok byl možný, protože tým omylem odstranil zásadní řádek kódu ze své chytré smlouvy, která rozděluje odměny za sázky CVG. Změnu provedli poté, co byl kód inteligentní smlouvy čtyřikrát auditován. 

„Úprava (z první strany optimalizace plynu) nás vedla k odstranění řádku kódu, který kontroloval vstup zadaný funkci,“ vysvětlil. 

Hacker toho využil ke zneužití smlouvy CvxRewardDistributor prostřednictvím funkce claimMultipleStaking.

To znamenalo, že smlouvu o stakingu nebylo možné ověřit, což hackerovi umožnilo předat samostatnou škodlivou smlouvu se stejným podpisem jako funkce claimCvgCvxMultiple.

Hacker poté vytěžil všechny tokeny určené pro sázkové emise a poté je vložil do fondů likvidity CVG, uvedl Convergence. 

"Omlouváme se naší komunitě a investorům a přebíráme plnou odpovědnost za to, co se stalo."

Související: Více než 70 % hacknutých finančních prostředků je ztraceno ve prospěch subjektů CeFi — Cyvers

Konvergence říká, že uživatelské prostředky jsou bezpečné, ale doporučila uživatelům stáhnout aktiva z platformy.

„Kvůli exploitu je aktuálně porušena smlouva o odměnách za integraci Stake DAO. Bude to opraveno a stakeři si budou moci nárokovat své odměny, jakmile to bude hotovo. Uživatelé integrace Stake DAO nepřijdou o žádné odměny,“ uvedl. 

"Brzy budeme komunikovat o možnostech budoucnosti protokolu."

Konvergence slouží k agregaci likvidity, zvýšení výnosů a umožnění zablokování likvidity v celém ekosystému Curve Finance.

Celková hodnota vázaná na Konvergenci klesla z 5,79 milionu USD na 3,69 milionu USD, ukazují data DefiLlama.

Ekosystém kryptoměn ztratil v červenci kvůli hackům kolem 266 milionů dolarů, většinou pocházejících z 230 milionů dolarů hacku indické obchodní platformy WazirX z 18. července.

Časopis: Zakladatel THORChain a jeho plán ‚upírský útok‘ na celou DeFi