Surge el análisis post mortem del hackeo del protocolo DeFi de $210,000 de Convergence

Convergence, un DeFi , fue víctima de un ataque informático en el que los atacantes robaron $210,000 en su token nativo y $2,000 en recompensas de staking no reclamadas. Convergence publicó una publicación advirtiendo a sus usuarios que no interactuaran con el protocolo tras la noticia del ataque.

La plataforma de seguridad PeckShield compartió inicialmente los detalles del ataque en una de sus publicaciones en X. Según la publicación, el hacker acuñó 58 millones de tokens CVG. Tras el ataque, los tokens se convirtieron en 60 WETH y 15.900 crvFRAX.

Convergencia publica autopsia  

Parece que @Convergence_fi acaba de ser explotado (con una pérdida de aproximadamente $210 000) para generar 58 millones de $CVG (58 718 395,05681812), que se intercambiaron por 60 WETH y 15 900 crvFRAX.

El error es parte deltracCvxRewardDistributor, que no valida la entrada del usuario (no confiable) para reclamar recompensas.

Aquí… pic.twitter.com/EOS7q4reUC

— PeckShield Inc. (@peckshield) 1 de agosto de 2024

El análisis post mortem reveló que la causa principal de la vulnerabilidad fue la falta de validación de los datos ingresados ​​por el usuario en la función "claimMultipleStaking" del contrato de distribución de recompensastracSegún el informe, el hacker ejecutó el contrato maliciosotracvalidar el contrato de stakingtracEsto le permitió acuñar todos los tokens reservados para las emisiones de staking.

Tras el ataque, el pirata informático arrojó todos los tokens CVG recién acuñados a fondos de liquidez.

Convergence atribuye la vulnerabilidad a una "modificación posterior a la auditoría"

Convergence Finance mencionó en su informe post mortem que el protocolo ha sido auditado cuatro veces por varias empresas. Sin embargo, el protocolo modificó recientemente la parte comprometida del código tras la auditoría.

Según el equipo, «La modificación (optimización de gas, en primer lugar) nos obligó a eliminar la línea de código que verificaba la entrada proporcionada a la función. Pedimos disculpas a nuestra comunidad e inversores, y asumimos toda la responsabilidad por lo sucedido»

Sin embargo, el equipo asegura que todos los fondos de los usuarios están seguros. Como medida de precaución adicional, también pidió a los inversores que retiraran sus activos apostados.

Tras el hackeo, eltracde recompensas también fue vulnerable a ataques. Como resultado, los participantes no podrán reclamar sus recompensas. Convergence declaró que está trabajando en una solución y que pronto se comunicará el resultado.

Los ataques informáticos a criptomonedas han ido en aumento últimamente. La industria registró 16 ataques informáticos denunciados, lo que contribuyó a la pérdida de más de 266 millones de dólares en julio.