Das dezentrale Finanzprotokoll Convergence hat bestätigt, dass es am 1. August über einen Smart-Contract-Exploit gehackt wurde. Dabei prägte und verkaufte ein Hacker native Token im Wert von 210 Millionen US-Dollar und stahl 2.000 US-Dollar an nicht beanspruchten Staking-Belohnungen.

Einer kürzlich veröffentlichten Obduktion von Wireshark, dem unter einem Pseudonym agierenden Gründer des Convergence-Protokolls, zufolge nutzte der Hacker den CvxRewardDistributor-Vertrag des Protokolls aus, um 58 Millionen CVG-Token für rund 210.000 US-Dollar zu prägen und zu verkaufen.

Der Hacker stahl außerdem nicht beanspruchte Belohnungen im Wert von etwa 2.000 US-Dollar von Convex, einem DeFi-Protokoll, das darauf ausgelegt ist, die Belohnungen für Curve-Liquiditätsanbieter zu maximieren.

Laut Etherscan ereignete sich der Angriff am 1. August gegen 3:00 Uhr UTC.

Das Blockchain-Sicherheitsunternehmen PeckShield stellte fest, dass der Hacker die CVG-Token nach der Prägung schnell in 60 Wrapped-Ether und 15.900 Curve.fi FRAX umtauschte.

Die Bewegungen haben seitdem zu einem nahezu 100%igen Preisverfall des CVG-Governance-Tokens geführt, der jetzt bei 0,0004 $ gehandelt wird und eine Marktkapitalisierung von nur 57.000 $ hat. Das zeigen die Daten von CoinMarketCap.

So kam es zum Hack

Convergence erklärte, der Angriff sei möglich gewesen, weil das Team versehentlich eine wichtige Codezeile in seinem Smart Contract entfernt habe, der CVG-Staking-Belohnungen verteilt. Sie nahmen die Änderung vor, nachdem der Smart-Contract-Code viermal geprüft worden war.

„Die Änderung (in erster Linie eine Gasoptimierung) führte dazu, dass wir die Codezeile entfernten, die die der Funktion gegebene Eingabe überprüfte“, erklärte es.

Der Hacker hat dies ausgenutzt, um den CvxRewardDistributor-Vertrag über die Funktion claimMultipleStaking auszunutzen.

Dies bedeutete, dass der Staking-Vertrag nicht validiert werden konnte, was es dem Hacker ermöglichte, einen separaten böswilligen Vertrag mit derselben Signatur wie die Funktion claimCvgCvxMultiple zu übergeben.

Der Hacker hat anschließend alle für das Staking von Emissionen bestimmten Token geprägt und sie dann in die Liquiditätspools von CVG geworfen, erklärte Convergence.

„Wir entschuldigen uns bei unserer Community und unseren Investoren und übernehmen die volle Verantwortung für das, was passiert ist.“

Verwandt: Über 70 % der gehackten Gelder gehen an CeFi-Unternehmen verloren – Cyvers

Convergence gibt an, dass die Benutzergelder sicher sind, empfiehlt den Benutzern jedoch, Vermögenswerte von der Plattform abzuheben.

„Aufgrund des Exploits ist der Belohnungsvertrag für die Stake DAO-Integration derzeit defekt. Dies wird behoben und die Staker können ihre Belohnungen einfordern, sobald dies erledigt ist. Für Benutzer der Stake DAO-Integration gehen keine Belohnungen verloren“, hieß es.

„Wir werden in Kürze über die Möglichkeiten für die Zukunft des Protokolls informieren.“

Convergence dient der Liquiditätsaggregation, der Steigerung der Renditen und der Ermöglichung einer Liquiditätssperre im gesamten Curve Finance-Ökosystem.

Der Gesamtwert von Convergence sank, wie aus Daten von DefiLlama hervorgeht, von 5,79 Millionen Dollar auf 3,69 Millionen Dollar.

Das Kryptowährungs-Ökosystem verlor im Juli durch Hackerangriffe rund 266 Millionen US-Dollar. Der größte Teil davon war dem 230 Millionen US-Dollar schweren Hack der indischen Handelsplattform WazirX am 18. Juli zuzuschreiben.

Magazin: Der Gründer von THORChain und sein Plan, einen „Vampirangriff“ auf die gesamte DeFi-Welt zu starten