分散型金融プロトコル「コンバージェンス」は、8月1日にスマートコントラクトの脆弱性を突いたハッキングを受け、ハッカーが2億1000万ドル相当のネイティブトークンを発行して売却したほか、未請求のステーキング報酬2000ドルを盗んだことを確認した。
コンバージェンス・プロトコルの匿名創設者であるWiresharkが最近公開した事後分析によると、ハッカーはプロトコルのCvxRewardDistributor契約を悪用し、5800万CVGトークンを鋳造して約21万ドルで販売したという。
ハッカーはまた、Curve流動性プロバイダーの報酬を最大化するように設計されたDeFiプロトコルであるConvexから、未請求の報酬約2,000ドルを盗んだ。
Etherscanによると、攻撃は8月1日午前3時頃(UTC)に発生した。
ブロックチェーンセキュリティ企業PeckShieldは、ハッカーがCVGトークンを鋳造した後、すぐにそれを60ラップされたイーサと15,900 Curve.fi FRAXに交換したと指摘した。
それ以来、こうした動きによりCVGガバナンストークンの価格はほぼ100%下落し、現在では時価総額がわずか57,000ドルで0.0004ドルで取引されている。CoinMarketCapのデータによると。
ハッキングが起こった経緯
コンバージェンス社は、チームがCVGステーキング報酬を分配するスマートコントラクトの重要なコード行を誤って削除したために攻撃が可能になったと述べた。彼らは、スマートコントラクトのコードが4回監査された後に変更を加えた。
「修正(まずガス最適化)により、関数に与えられた入力をチェックしていたコード行を削除することができました」と説明している。
ハッカーはこれを利用し、claimMultipleStaking 関数を通じて CvxRewardDistributor 契約を悪用しました。
これは、ステーキング契約を検証できないことを意味し、ハッカーはclaimCvgCvxMultiple関数と同じ署名を持つ別の悪意のある契約を渡すことができました。
その後、ハッカーはステーキング放出専用のトークンをすべて発行し、それをCVG流動性プールに投入したとコンバージェンスは述べた。
「私たちは地域社会と投資家に謝罪し、起こったことに対して全責任を負います。」
関連: ハッキングされた資金の 70% 以上が CeFi エンティティに失われる — Cyvers
コンバージェンスはユーザーの資金は安全だとしているが、ユーザーにプラットフォームから資産を引き出すことを推奨している。
「この脆弱性により、Stake DAO統合の報酬契約は現在壊れています。これは修正され、完了次第ステーカーは報酬を請求できるようになります。Stake DAO統合ユーザーの報酬は失われません」と同社は述べた。
「プロトコルの将来の可能性については、近日中にお知らせします。」
コンバージェンスは、流動性を集約し、収益を高め、Curve Finance エコシステム全体で流動性のロックを可能にするために機能します。
DefiLlamaのデータによれば、コンバージェンスにロックされた総額は579万ドルから369万ドルに減少した。
暗号通貨エコシステムは7月にハッキングにより約2億6600万ドルの損失を被ったが、そのほとんどは7月18日にインドの取引プラットフォームWazirXが2億3000万ドルのハッキングを受けたことによるものだ。
マガジン:THORChainの創設者とDeFi全体を「吸血鬼攻撃」する計画