Analyse post-mortem du piratage du protocole DeFi Convergence (210 000 $)

Convergence, un DeFi , a été victime d'un piratage informatique. Les attaquants ont dérobé l'équivalent de 210 000 $ en jetons natifs et 2 000 $ en récompenses de staking non réclamées. Suite à cette attaque, Convergence a publié un message avertissant ses utilisateurs de ne plus interagir avec le protocole.

La plateforme de sécurité PeckShield a initialement partagé les détails du piratage via l'une de ses publications X. Selon cette publication, le pirate a émis 58 millions de jetons CVG. Suite au piratage, ces jetons ont été convertis en 60 WETH et 15 900 crvFRAX.

Convergence publie un rapport post-mortem  

Il semble que @Convergence_fi ait été exploité (avec une perte d'environ 210 000 $) pour émettre 58 millions de $CVG (58 718 395,05681812), qui sont échangés contre 60 WETH et 15 900 crvFRAX.

Le bug fait partie dutracCvxRewardDistributor, qui ne valide pas les données saisies par l'utilisateur (non fiables) pour réclamer les récompenses.

Ici… pic.twitter.com/EOS7q4reUC

— PeckShield Inc. (@peckshield) 1er août 2024

L' analyse post-mortem a révélé que la principale cause de l'exploitation de la faille réside dans l'absence de validation des données saisies par l'utilisateur dans la fonction « claimMultipleStaking » du contrat de distribution des récompensestracSelon le rapport, le pirate a exécuté le contrat malveillanttracavoir validé le contrat de stakingtracCela lui a permis de créer tous les jetons réservés aux émissions de staking.

Suite au piratage, le pirate a déversé tous les jetons CVG nouvellement créés dans les pools de liquidités.

Convergence attribue l'exploit à une « modification postérieure à l'audit »

Dans son rapport d'analyse post-mortem, Convergence Finance a indiqué que le protocole avait fait l'objet de quatre audits réalisés par différentes sociétés. Toutefois, la partie compromise du code avait été récemment modifiée après chaque audit.

Selon l'équipe, « la modification (l'optimisation du gaz en premier lieu) nous a conduits à supprimer la ligne de code qui vérifiait l'entrée fournie à la fonction. Nous présentons nos excuses à notre communauté et à nos investisseurs, et nous assumons l'entière responsabilité de ce qui s'est passé. »

L'équipe assure toutefois que tous les fonds des utilisateurs sont en sécurité. Par mesure de précaution supplémentaire, elle a également demandé aux investisseurs de retirer leurs actifs mis en jeu.

Suite au piratage, letracde récompenses a également été compromis. Par conséquent, les détenteurs de jetons ne pourront pas réclamer leurs récompenses pour le moment. Convergence a indiqué travailler à la résolution du problème et qu'une solution sera communiquée prochainement.

Les piratages de cryptomonnaies sont en hausse ces derniers temps. Le secteur a enregistré 16 piratages signalés en juillet, entraînant des pertes de plus de 266 millions de dollars.