Il protocollo finanziario decentralizzato Convergence ha confermato di essere stato violato tramite un exploit di contratto intelligente il 1° agosto, con un hacker che ha coniato e venduto 210 milioni di dollari nel suo token nativo, oltre a rubare 2.000 dollari in premi di staking non reclamati.

Secondo un'autopsia recentemente rilasciata da Wireshark, il fondatore pseudonimo del protocollo Convergence, l'hacker ha sfruttato il contratto CvxRewardDistributor del protocollo, consentendogli di coniare e vendere 58 milioni di token CVG per circa $ 210.000.

L'hacker ha anche rubato circa 2.000 dollari di premi non riscossi da Convex, un protocollo DeFi progettato per massimizzare i premi per i fornitori di liquidità Curve.

Secondo Etherscan, l'attacco è avvenuto il 1 agosto intorno alle 3:00 UTC.

La società di sicurezza blockchain PeckShield ha notato che dopo aver coniato i token CVG, l'hacker li ha rapidamente scambiati in 60 Wrapped Ether e 15.900 Curve.fi FRAX.

Da allora, i movimenti hanno portato a una cancellazione di quasi il 100% del prezzo del token di governance CVG, che ora viene scambiato a 0,0004 dollari con una capitalizzazione di mercato di soli 57.000 dollari. Mostrano i dati di CoinMarketCap.

Come è successo l'hacking

Convergence ha affermato che l'attacco è stato possibile perché il team ha rimosso accidentalmente una riga di codice essenziale nel suo contratto intelligente, che distribuisce le ricompense di staking CVG. Hanno apportato la modifica dopo che il codice del contratto intelligente è stato verificato quattro volte. 

"La modifica (l'ottimizzazione del gas in primo luogo) ci ha portato a rimuovere la riga di codice che controllava l'input dato alla funzione", ha spiegato. 

L'hacker lo ha utilizzato per sfruttare il contratto CvxRewardDistributor attraverso la funzioneclaimMultipleStaking.

Ciò significava che il contratto di staking non poteva essere convalidato, consentendo all’hacker di passare un contratto dannoso separato con la stessa firma della funzioneclaimCvgCvxMultiple.

L'hacker ha quindi coniato tutti i token dedicati allo staking delle emissioni e poi li ha scaricati nei pool di liquidità CVG, ha affermato Convergence. 

“Ci scusiamo con la nostra comunità e gli investitori e ci assumiamo la piena responsabilità per quanto accaduto”.

Correlato: oltre il 70% dei fondi violati vengono persi a causa di entità CeFi: Cyvers

Convergence afferma che i fondi degli utenti sono sicuri, ma ha raccomandato agli utenti di ritirare i propri asset dalla piattaforma.

“A causa dell’exploit, il contratto di ricompensa per l’integrazione di Stake DAO è attualmente interrotto. Il problema verrà risolto e gli staker potranno richiedere i propri premi una volta terminato. Nessun premio viene perso per gli utenti dell'integrazione Stake DAO", ha affermato. 

"Cominceremo presto sulle possibilità per il futuro del protocollo."

La convergenza funziona per aggregare liquidità, aumentare i rendimenti e consentire il blocco della liquidità nell’ecosistema Curve Finance.

Il valore totale bloccato su Convergence è sceso da 5,79 milioni di dollari a 3,69 milioni di dollari, mostrano i dati di DefiLlama.

L'ecosistema delle criptovalute ha perso circa 266 milioni di dollari a causa degli attacchi hacker a luglio, la maggior parte dei quali derivanti dall'attacco da 230 milioni di dollari della piattaforma di trading indiana WazirX il 18 luglio.

Rivista: il fondatore di THORChain e il suo piano per "attaccare i vampiri" a tutta la DeFi