O protocolo financeiro descentralizado Convergence confirmou que foi hackeado por meio de uma exploração de contrato inteligente em 1º de agosto, com um hacker cunhando e vendendo US$ 210 milhões em seu token nativo, além de roubar US$ 2.000 em recompensas de apostas não reclamadas.

De acordo com um post-mortem recém-lançado de Wireshark, o pseudônimo fundador do protocolo Convergence, o hacker explorou o contrato CvxRewardDistributor do protocolo, permitindo-lhes cunhar e vender 58 milhões de tokens CVG por aproximadamente US$ 210.000.

O hacker também roubou aproximadamente US$ 2.000 em recompensas não reclamadas do Convex, um protocolo DeFi projetado para maximizar recompensas para provedores de liquidez Curve.

De acordo com o Etherscan, o ataque ocorreu em 1º de agosto por volta das 3h UTC.

A empresa de segurança Blockchain PeckShield observou que depois de cunhar os tokens CVG, o hacker rapidamente os trocou por 60 Ether embalados e 15.900 Curve.fi FRAX.

Desde então, os movimentos levaram a uma eliminação de quase 100% do preço do token de governança CVG, que agora é negociado a US$ 0,0004 com uma capitalização de mercado de apenas US$ 57.000. Os dados do CoinMarketCap mostram.

Como o hack aconteceu

A Convergence disse que o ataque foi possível porque a equipe removeu acidentalmente uma linha essencial de código em seu contrato inteligente, que distribui recompensas de staking de CVG. Eles fizeram a mudança depois que o código do contrato inteligente foi auditado quatro vezes. 

“A modificação (otimização de gás em primeira mão) nos levou a remover a linha de código que verificava a entrada dada à função”, explicou. 

O hacker usou isso para explorar o contrato CvxRewardDistributor por meio da função ClaimMultipleStake.

Isso significava que o contrato de piquetagem não poderia ser validado, permitindo que o hacker passasse um contrato malicioso separado com a mesma assinatura da função ClaimCvgCvxMultiple.

O hacker então cunhou todos os tokens dedicados ao staking de emissões e depois os despejou em pools de liquidez CVG, disse a Convergence. 

“Pedimos desculpas à nossa comunidade e aos investidores e assumimos total responsabilidade pelo que aconteceu.”

Relacionado: Mais de 70% dos fundos hackeados são perdidos para entidades CeFi – Cyvers

A Convergence afirma que os fundos dos usuários estão seguros, mas recomendou que os usuários retirassem ativos da plataforma.

“Devido à exploração, o contrato de recompensas para a integração do Stake DAO está atualmente quebrado. Isso será corrigido e os apostadores poderão reivindicar suas recompensas assim que terminar. Nenhuma recompensa é perdida para os usuários da integração Stake DAO”, afirmou. 

“Em breve comunicaremos sobre as possibilidades para o futuro do protocolo.”

A Convergence trabalha para agregar liquidez, aumentar os retornos e permitir o bloqueio de líquidos em todo o ecossistema Curve Finance.

O valor total bloqueado na Convergência caiu de US$ 5,79 milhões para US$ 3,69 milhões, mostram dados do DefiLlama.

O ecossistema de criptomoedas perdeu cerca de US$ 266 milhões devido a hacks em julho, principalmente provenientes do hack de US$ 230 milhões da plataforma de negociação indiana WazirX em 18 de julho.

Revista: Fundador do THORChain e seu plano de ‘ataque de vampiro’ em todo o DeFi