Convergence, un DeFi , a été victime d'un piratage au cours duquel les attaquants ont pillé 210 000 $ de son jeton natif et 2 000 $ de récompenses de mise non réclamées. Convergence a envoyé un message avertissant ses utilisateurs de ne pas interagir avec le protocole après l'annonce de l'exploit.
La plateforme de sécurité PeckShield a initialement partagé les détails du piratage via l'une de ses publications X. Selon le message, le pirate informatique a créé 58 millions de jetons CVG. Suite au piratage, les jetons ont été convertis en 60 WETH et 15,9 000 crvFRAX.
Convergence publie une analyse post-mortem
Il semble que @Convergence_fi vient d'être exploité (avec une perte d'environ 210 000 $) pour frapper 58 millions de $ CVG (58 718 395,05681812), qui sont échangés contre 60 WETH et 15,9 000 crvFRAX.
Le bug fait partie du trac CvxRewardDistributor, qui ne valide pas l'entrée (non fiable) de l'utilisateur pour réclamer des récompenses.
Ici… pic.twitter.com/ EOS 7q4reUC
– PeckShield Inc. (@peckshield) 1er août 2024
L' autopsie a révélé que la principale raison de l'exploit est un manque de validation dans les données saisies par l'utilisateur dans la fonction « claimMultipleStaking » du contrat de distribution de trac . Selon le rapport, le pirate informatique a exécuté le contrat malveillant trac la validation du contrat de trac . Cela a permis au pirate informatique de créer tous les jetons gardés de côté pour le jalonnement des émissions.
Après le piratage, le pirate informatique a jeté tous les jetons CVG nouvellement créés dans des pools de liquidités.
Convergence accuse la « post -audit » d'exploiter
Convergence Finance a mentionné dans son rapport post-mortem que le protocole a été audité 4 fois par diverses sociétés. Cependant, le protocole avait récemment modifié la partie compromise du code post-audit.
Selon l'équipe, « la modification (optimisation du gaz en premier) nous a amené à supprimer la ligne de code qui vérifiait l'entrée donnée à la fonction. Nous nous excusons auprès de notre communauté et de nos investisseurs, et nous assumons l'entière responsabilité de ce qui s'est passé.
Cependant, l'équipe assure que tous les fonds des utilisateurs sont en sécurité. Dans ce qui semble être une mesure de prudence supplémentaire, il a également demandé aux investisseurs de retirer leurs actifs mis en jeu.
Suite au piratage, le trac de récompenses a également été exploité. En conséquence, les parieurs ne pourront pas réclamer leurs récompenses pour le moment. Convergence a déclaré qu'elle travaillait sur un correctif et que le résultat serait bientôt communiqué.
Les piratages cryptographiques se sont multipliés ces derniers temps. L’industrie a été témoin de 16 piratages cryptographiques signalés, qui ont contribué à une perte de plus de 266 millions de dollars en juillet .