DeFi-Протокол Convergence удалил важную строку кода, что привело к взлому на $212 тыс
Протокол децентрализованного финансирования Convergence подтвердил, что был взломан посредством эксплоита смарт-контракта 1 августа.
Согласно недавно опубликованному отчету Wireshark, псевдонимного основателя протокола Convergence, хакер использовал контракт CvxRewardDistributor протокола, что позволило ему отчеканить и продать 58 млн токенов CVG примерно за 210 тыс. долларов.
Хакер также украл около 2000 долларов невостребованных вознаграждений из Convex, протокола DeFi, разработанного для максимизации вознаграждений для поставщиков ликвидности Curve.
По данным Etherscan, атака произошла 1 августа около 3:00 утра по UTC.
Компания PeckShield, занимающаяся безопасностью блокчейнов, отметила, что после выпуска токенов CVG хакер быстро поменял их на 60 WETH и 15 900 FRAX на Curve.fi.
С тех пор эти движения привели к почти 100%-ному падению цены токена управления CVG, который теперь торгуется по цене 0,0004 доллара с рыночной капитализацией всего 57 000 долларов.
Источник: PeckShield.
Как произошел взлом
Convergence заявила, что атака стала возможной, поскольку команда случайно удалила важную строку кода в своем смарт-контракте, который распределяет вознаграждения за стекинг CVG. Они внесли изменение после того, как код смарт-контракта был проверен четыре раза.
«Модификация (оптимизация газа в первую очередь) заставила нас удалить строку кода, которая проверяла входные данные, переданные функции», — поясняется в нем.
Хакер использовал это для эксплуатации контракта CvxRewardDistributor через функцию claimMultipleStaking.
Это означало, что контракт на стекинг не мог быть проверен, что позволило хакеру передать отдельный вредоносный контракт с той же подписью, что и функция claimCvgCvxMultiple.
Затем хакер выпустил все токены, выделенные для эмиссии стекинга, а затем сбросил их в пулы ликвидности CVG, заявила Convergence.
«Мы приносим извинения нашему сообществу и инвесторам и берем на себя полную ответственность за произошедшее», — говорится в сообщении.
Convergence заявляет, что средства пользователей в безопасности, но рекомендовала пользователям вывести активы с платформы.
«Из-за эксплоита контракт на вознаграждение за интеграцию Stake DAO в настоящее время нарушен. Это будет исправлено, и стейкеры смогут получить свои вознаграждения, как только это будет сделано. Никакие вознаграждения не будут потеряны для пользователей интеграции Stake DAO», — говорится в сообщении.
«Мы скоро сообщим о возможностях будущего протокола», — добавила команда.
Convergence работает над агрегацией ликвидности, повышением доходности и обеспечением блокировки ликвидности в экосистеме Curve Finance.
Общая стоимость, заблокированная в Convergence, упала с 5,79 млн долларов до 3,69 млн долларов, показывают данные DefiLlama.
Криптовалютная экосистема потеряла около 266 млн долларов из-за взломов в июле, в основном из-за взлома индийской торговой платформы WazirX на 230 млн долларов 18 июля.
