Zdecentralizowany protokół finansowy Convergence potwierdził, że 1 sierpnia doszło do ataku hakerskiego za pomocą exploita inteligentnego kontraktu, podczas którego haker wybił i sprzedał swój natywny token o wartości 210 milionów dolarów, a także ukradł 2000 dolarów w postaci nieodebranych nagród za stakowanie.

Według niedawno opublikowanej sekcji zwłok Wiresharka, pseudonimowego twórcy protokołu Convergence, haker wykorzystał umowę CvxRewardDistributor protokołu, umożliwiając mu wybicie i sprzedaż 58 milionów tokenów CVG za około 210 000 dolarów.

Haker ukradł także około 2000 dolarów nieodebranych nagród z Convex, protokołu DeFi zaprojektowanego w celu maksymalizacji nagród dla dostawców płynności Curve.

Według Etherscan do ataku doszło 1 sierpnia około godziny 3:00 czasu UTC.

Firma zajmująca się bezpieczeństwem Blockchain, PeckShield, zauważyła, że ​​po wybiciu tokenów CVG haker szybko zamienił je na 60 owiniętych Ether i 15 900 Curve.fi FRAX.

Od tego czasu ruchy te doprowadziły do ​​niemal 100% spadku ceny tokena zarządzającego CVG, który obecnie jest notowany na poziomie 0,0004 USD przy kapitalizacji rynkowej wynoszącej zaledwie 57 000 USD. Pokazują dane CoinMarketCap.

Jak doszło do włamania

Convergence stwierdziło, że atak był możliwy, ponieważ zespół przypadkowo usunął istotną linijkę kodu ze swojego inteligentnego kontraktu, który rozdziela nagrody za stakowanie CVG. Zmianę wprowadzili po czterokrotnym audycie kodu inteligentnego kontraktu. 

„Modyfikacja (po pierwsze optymalizacja gazu) doprowadziła nas do usunięcia linii kodu sprawdzającej dane wejściowe przekazywane do funkcji” – wyjaśniono. 

Haker wykorzystał to do wykorzystania umowy CvxRewardDistributor za pośrednictwem funkcji ClaimMultipleStaking.

Oznaczało to, że nie można było zweryfikować umowy stakingu, co umożliwiło hakerowi przekazanie osobnej, szkodliwej umowy z tym samym podpisem, co funkcja ClaimCvgCvxMultiple.

Następnie haker wybił wszystkie tokeny przeznaczone do stakowania emisji, a następnie wrzucił je do pul płynności CVG, powiedział Convergence. 

„Przepraszamy naszą społeczność i inwestorów i bierzemy pełną odpowiedzialność za to, co się stało”.

Powiązane: Ponad 70% zhakowanych środków zostaje utraconych na rzecz podmiotów CeFi — Cyvers

Convergence twierdzi, że fundusze użytkowników są bezpieczne, ale zaleciła użytkownikom wycofanie aktywów z platformy.

„Z powodu exploita umowa dotycząca nagród za integrację Stake DAO jest obecnie zerwana. Zostanie to naprawione, a gracze będą mogli odebrać swoje nagrody, gdy już to zrobią. Użytkownicy integracji Stake DAO nie tracą żadnych nagród” – napisano. 

„Wkrótce poinformujemy o możliwościach protokołu w przyszłości”.

Konwergencja ma na celu agregację płynności, zwiększenie zysków i umożliwienie blokowania płynności w całym ekosystemie Curve Finance.

Jak wynika z danych DefiLlama, całkowita wartość zablokowana w Convergence spadła z 5,79 mln dolarów do 3,69 mln dolarów.

Ekosystem kryptowalut stracił w lipcu około 266 milionów dolarów w wyniku włamań, głównie w wyniku włamania na indyjską platformę handlową WazirX o wartości 230 milionów dolarów, który miał miejsce 18 lipca.

Magazyn: Założyciel THORChain i jego plan „ataku wampirów” na całe DeFi