Convergence, un DeFi , fue víctima de un hack en el que los atacantes saquearon su token nativo por valor de 210.000 dólares y 2.000 dólares en recompensas de apuestas no reclamadas. Convergence envió una publicación advirtiendo a sus usuarios que no interactuaran con el protocolo después de que se conoció la noticia del exploit.
La plataforma de seguridad PeckShield inicialmente compartió los detalles del hack a través de una de sus publicaciones X. Según la publicación, el hacker acuñó 58 millones de tokens CVG. Tras el hack, los tokens se convirtieron a 60 WETH y 15,9k crvFRAX.
Publicaciones de convergencia post-mortem
Parece que @Convergence_fi acaba de ser explotado (con una pérdida de ~$210k) para acuñar 58m $CVG (58,718,395.05681812), que se intercambian por 60 WETH y 15.9k crvFRAX.
El error es parte deltracCvxRewardDistributor, que no valida la entrada del usuario (no confiable) para reclamar recompensas.
Aquí … pic.twitter.com/EOS EOS
– PeckShield Inc. (@peckshield) 1 de agosto de 2024
La autopsia reveló que la razón principal del exploit es la falta de validación en la entrada proporcionada por el usuario en la función "reclamarMultipleStake" del contrato de distribución de trac . Según el informe, el hacker ejecutó el contrato malicioso trac la validación del contrato de trac . Esto permitió al hacker acuñar todos los tokens que se mantenían reservados para apostar emisiones.
Después del hack, el hacker arrojó todos los tokens CVG recién acuñados en fondos de liquidez.
Convergence culpa a la 'modificación posterior a la auditoría' por el exploit
Convergence Finance mencionó en su informe post mortem que el protocolo ha sido auditado cuatro veces por varias empresas. Sin embargo, el protocolo había modificado recientemente la parte comprometida del código después de la auditoría.
Según el equipo, “La modificación (optimización de gas en primer lugar) nos llevó a eliminar la línea de código que verificaba la entrada proporcionada a la función. Pedimos disculpas a nuestra comunidad y a los inversores y asumimos toda la responsabilidad por lo ocurrido”.
Sin embargo, el equipo asegura que todos los fondos de los usuarios están seguros. En lo que parece una medida de precaución adicional, también pidió a los inversores que retiraran sus activos apostados.
Tras el hackeo, eltracde recompensas también fue explotado. Como resultado, los apostadores no podrán reclamar sus recompensas ahora. Convergence declaró que está trabajando en una solución y pronto se comunicará el resultado.
Los hackeos de criptomonedas han ido en aumento últimamente. La industria fue testigo de 16 hackeos de criptomonedas reportados, que contribuyeron a la pérdida de más de 266 millones de dólares en julio .
Key Difference Wire ayuda a las marcas criptográficas a romper y dominar los titulares rápidamente
