Convergence, un protocollo DeFi, è stato vittima di un hack in cui gli aggressori hanno saccheggiato il suo token nativo per un valore di 210.000 dollari e 2.000 dollari in premi di staking non reclamati. Convergence ha inviato un post avvertendo i suoi utenti di non interagire con il protocollo dopo che si è diffusa la notizia dell'exploit.
La piattaforma di sicurezza PeckShield ha inizialmente condiviso i dettagli dell'hacking attraverso uno dei suoi post su X. Secondo il post, l'hacker ha coniato 58 milioni di token CVG. Dopo l'hacking, i token sono stati convertiti in 60 WETH e 15,9k crvFRAX.
La convergenza rilascia post mortem
Sembra che @Convergence_fi sia stato appena sfruttato (con una perdita di ~$210.000) per coniare 58 milioni di $CVG (58.718.395.05681812), che vengono scambiati con 60 WETH e 15.9k crvFRAX.
Il bug fa parte del contratto CvxRewardDistributor, che non convalida l'input dell'utente (non attendibile) per richiedere i premi.
Qui… pic.twitter.com/EOS7q4reUC
— PeckShield Inc. (@peckshield) 1 agosto 2024
L' autopsia ha rivelato che il motivo principale dell'exploit è la mancanza di convalida dell'input fornito dall'utente nella funzione “claimMultipleStaking” del contratto di distribuzione della ricompensa. Secondo il rapporto, l'hacker ha eseguito il contratto dannoso senza la convalida del contratto di staking. Ciò ha consentito all'hacker di coniare tutti i token tenuti da parte per lo staking delle emissioni.
Dopo l'hacking, l'hacker ha scaricato tutti i token CVG appena coniati in pool di liquidità.
Convergence attribuisce l' exploit alla "modifica post-audit" .
Convergence Finance ha menzionato nella sua relazione post mortem che il protocollo è stato verificato 4 volte da varie società. Tuttavia, il protocollo aveva recentemente modificato la parte compromessa del codice post-audit.
Secondo il team, “La modifica (l'ottimizzazione del gas in primo luogo) ci ha portato a rimuovere la riga di codice che controllava l'input dato alla funzione. Ci scusiamo con la nostra comunità e gli investitori e ci assumiamo la piena responsabilità per quanto accaduto”.
Tuttavia, il team assicura che tutti i fondi degli utenti siano al sicuro. In quella che sembra un’ulteriore misura cautelativa, ha anche chiesto agli investitori di ritirare i propri asset investiti.
In seguito all’hacking è stato sfruttato anche il contratto a premi. Di conseguenza, gli staker non potranno richiedere i loro premi ora. Convergence ha dichiarato che sta lavorando ad una soluzione, e il risultato sarà presto comunicato.
Gli attacchi hacker alle criptovalute sono in aumento ultimamente. Nel settore sono stati segnalati 16 hack di criptovalute, che hanno contribuito alla perdita di oltre 266 milioni di dollari nel mese di luglio .