Protokol keuangan terdesentralisasi, Convergence, telah mengonfirmasi bahwa ia diretas melalui eksploitasi kontrak pintar pada 1 Agustus, dengan seorang peretas mencetak dan menjual $210 juta dalam token aslinya, serta mencuri $2,000 dalam hadiah staking yang tidak diklaim.
Menurut pemeriksaan mayat yang baru dirilis dari Wireshark, pendiri protokol Konvergensi dengan nama samaran, peretas mengeksploitasi kontrak CvxRewardDistributor protokol, memungkinkan mereka mencetak dan menjual 58 juta token CVG dengan harga sekitar $210,000.
Peretas juga mencuri sekitar $2,000 hadiah yang tidak diklaim dari Convex, protokol DeFi yang dirancang untuk memaksimalkan hadiah bagi penyedia likuiditas Curve.
Menurut Etherscan, serangan itu terjadi pada 1 Agustus sekitar pukul 3:00 UTC.
Perusahaan keamanan Blockchain PeckShield mencatat bahwa setelah mencetak token CVG, peretas dengan cepat menukarnya menjadi 60 Ether yang dibungkus dan 15,900 Curve.fi FRAX.
Pergerakan tersebut telah menyebabkan hilangnya harga token tata kelola CVG hampir 100%, yang sekarang diperdagangkan pada $0,0004 dengan kapitalisasi pasar hanya $57,000. Data CoinMarketCap menunjukkan.
Bagaimana peretasan itu terjadi
Convergence mengatakan serangan itu mungkin terjadi karena tim secara tidak sengaja menghapus baris kode penting dalam kontrak pintarnya, yang mendistribusikan hadiah staking CVG. Mereka melakukan perubahan setelah kode kontrak pintar diaudit sebanyak empat kali.
“Modifikasi (optimasi gas secara langsung) membuat kami menghapus baris kode yang memeriksa input yang diberikan ke fungsi tersebut,” jelasnya.
Peretas menggunakan ini untuk mengeksploitasi kontrak CvxRewardDistributor melalui fungsi klaimMultipleStaking.
Ini berarti kontrak staking tidak dapat divalidasi, sehingga peretas dapat meneruskan kontrak berbahaya terpisah dengan tanda tangan yang sama dengan fungsiclaimCvgCvxMultiple.
Peretas kemudian mencetak semua token yang didedikasikan untuk mempertaruhkan emisi dan kemudian membuangnya ke dalam kumpulan likuiditas CVG, kata Convergence.
“Kami meminta maaf kepada komunitas dan investor kami, dan kami bertanggung jawab penuh atas apa yang terjadi.”
Terkait: Lebih dari 70% dana yang diretas hilang ke entitas CeFi — Cyvers
Convergence mengatakan bahwa dana pengguna aman, tetapi merekomendasikan pengguna untuk menarik aset dari platform.
“Karena eksploitasi tersebut, kontrak hadiah untuk integrasi Stake DAO saat ini terputus. Ini akan diperbaiki, dan para pemangku kepentingan akan dapat mengklaim hadiahnya setelah hal itu selesai. Tidak ada imbalan yang hilang bagi pengguna integrasi Stake DAO," katanya.
“Kami akan segera berkomunikasi tentang kemungkinan masa depan protokol ini.”
Konvergensi berfungsi untuk mengumpulkan likuiditas, meningkatkan keuntungan, dan memungkinkan penguncian likuid di seluruh ekosistem Curve Finance.
Nilai total yang dikunci pada Konvergensi turun dari $5.79 juta menjadi $3.69 juta, menurut data DefiLlama.
Ekosistem mata uang kripto mengalami kerugian sekitar $266 juta akibat peretasan pada bulan Juli, sebagian besar berasal dari peretasan platform perdagangan India WazirX senilai $230 juta pada tanggal 18 Juli.
Majalah: Pendiri THORChain dan rencananya untuk 'menyerang vampir' seluruh DeFi