Протокол DeFi видалив важливий рядок коду, який призвів до злому $212 тис

Децентралізований фінансовий протокол Convergence підтвердив, що 1 серпня його було зламано за допомогою експлойту смарт-контракту, при цьому хакер викарбував і продав власний токен на суму 210 мільйонів доларів, а також викрав 2000 доларів у вигляді незатребуваної винагороди за ставки.

Відповідно до нещодавно опублікованого посмертного висновку від Wireshark, псевдонімного засновника протоколу Convergence, хакер використав контракт CvxRewardDistributor протоколу, що дозволило їм викарбувати та продати 58 мільйонів токенів CVG приблизно за 210 000 доларів США.

Хакер також викрав приблизно 2000 доларів незатребуваних винагород у Convex, протоколу DeFi, призначеного для максимізації винагороди для постачальників ліквідності Curve.

За даними Etherscan, атака сталася 1 серпня близько 3:00 ночі за UTC.

Фірма безпеки блокчейнів PeckShield зазначила, що після карбування токенів CVG хакер швидко замінив їх на 60 загорнутих ефірів і 15 900 Curve.fi FRAX.

З тих пір ці зміни призвели до майже 100% падіння ціни токена управління CVG, який зараз торгується за 0,0004 долара з ринковою капіталізацією лише 57 000 доларів. Показують дані CoinMarketCap.

Як стався злом

У Convergence заявили, що атака була можливою через те, що команда випадково видалила важливий рядок коду у своєму смарт-контракті, який розподіляє винагороди за ставки CVG. Вони внесли зміни після того, як код смарт-контракту було перевірено чотири рази.

«Модифікація (спочатку оптимізація газу) призвела до того, що ми видалили рядок коду, який перевіряв вхідні дані для функції», — пояснили в ньому.

Хакер використав це, щоб використати контракт CvxRewardDistributor через функцію claimMultipleStaking.

Це означало, що контракт про стейкинг не можна було перевірити, дозволяючи хакеру передати окремий зловмисний контракт із тим самим підписом, що й функція claimCvgCvxMultiple.

Потім хакер відкарбував усі токени, призначені для емісій стейкінгу, а потім скинув їх у пули ліквідності CVG, повідомляє Convergence.

«Ми приносимо вибачення нашій спільноті та інвесторам і беремо на себе повну відповідальність за те, що сталося».

За темою: понад 70% зламаних коштів втрачаються суб’єктами CeFi — Cyvers

Convergence каже, що кошти користувачів безпечні, але рекомендує користувачам виводити активи з платформи.

«Через експлойт договір про винагороду для інтеграції Stake DAO наразі порушено. Це буде виправлено, і стейкери зможуть отримати свої винагороди, коли це буде зроблено. Жодна винагорода не втрачається для користувачів інтеграції Stake DAO», — йдеться в повідомленні.

«Незабаром ми повідомимо про можливості майбутнього протоколу».

Конвергенція працює для агрегування ліквідності, підвищення доходів і забезпечення ліквідності в екосистемі Curve Finance.

Згідно з даними DefiLlama, загальна вартість, зафіксована на Convergence, впала з $5,79 млн до $3,69 млн.

У липні криптовалютна екосистема втратила близько 266 мільйонів доларів через хакерські дії, в основному через злом індійської торгової платформи WazirX на суму 230 мільйонів доларів 18 липня.