Протокол DeFi удалил важную строку кода, которая привела к взлому на сумму 212 тысяч долларов.

Протокол децентрализованного финансирования Convergence подтвердил, что он был взломан с помощью эксплойта смарт-контракта 1 августа, когда хакер создал и продал 210 миллионов долларов США в своих собственных токенах, а также украл 2000 долларов США в виде невостребованных вознаграждений за ставки.

Согласно недавно опубликованному исследованию Wireshark, псевдонимного основателя протокола Convergence, хакер воспользовался контрактом протокола CvxRewardDistributor, что позволило им чеканить и продавать 58 миллионов токенов CVG примерно за 210 000 долларов США.

Хакер также украл около 2000 долларов невостребованного вознаграждения из Convex, протокола DeFi, разработанного для максимизации вознаграждения поставщиков ликвидности Curve.

По данным Etherscan, атака произошла 1 августа около 3:00 утра по всемирному координированному времени.

Компания PeckShield, занимающаяся безопасностью блокчейн, отметила, что после чеканки токенов CVG хакер быстро обменял их на 60 завернутых эфиров и 15 900 токенов Curve.fi FRAX.

С тех пор эти изменения привели к почти 100% падению цены токена управления CVG, который сейчас торгуется по цене 0,0004 доллара США с рыночной капитализацией всего в 57 000 долларов США. Данные CoinMarketCap показывают.

Как произошел взлом

В Convergence заявили, что атака стала возможной, потому что команда случайно удалила важную строку кода в своем смарт-контракте, который распределяет вознаграждения за стейкинг CVG. Они внесли изменения после того, как код смарт-контракта был проверен четыре раза.

«Модификация (в первую очередь оптимизация газа) привела к тому, что мы удалили строку кода, которая проверяла входные данные функции», — пояснили в компании.

Хакер использовал это для эксплуатации контракта CvxRewardDistributor с помощью функцииclaimMultipleStakeing.

Это означало, что контракт о ставках не мог быть проверен, что позволяло хакеру передать отдельный вредоносный контракт с той же подписью, что и функция requireCvgCvxMultiple.

Затем хакер создал все токены, предназначенные для размещения эмиссий, а затем сбросил их в пулы ликвидности CVG, сообщает Convergence.

«Мы приносим извинения нашему сообществу и инвесторам и берем на себя полную ответственность за то, что произошло».

По теме: Более 70% взломанных средств теряются из-за организаций CeFi — Cyvers

В Convergence заявляют, что средства пользователей в безопасности, но рекомендуют пользователям выводить активы с платформы.

«Из-за эксплойта контракт на вознаграждение за интеграцию Stake DAO в настоящее время разорван. Это будет исправлено, и как только это будет сделано, участники стейкинга смогут потребовать свои вознаграждения. Для пользователей интеграции Stake DAO никакие вознаграждения не теряются», — говорится в сообщении.

«Мы скоро сообщим о возможностях будущего протокола».

Конвергенция способствует агрегированию ликвидности, повышению доходности и обеспечению блокировки ликвидности в экосистеме Curve Finance.

По данным DefiLlama, общая стоимость, заблокированная в Convergence, упала с $5,79 млн до $3,69 млн.

В июле из-за хакерских атак криптовалютная экосистема потеряла около 266 миллионов долларов, в основном из-за взлома индийской торговой платформы WazirX на 230 миллионов долларов 18 июля.