Convergence, un DeFi , è stato vittima di un attacco informatico in cui gli aggressori hanno rubato 210.000 dollari in token nativi e 2.000 dollari in ricompense di staking non riscosse. Convergence ha pubblicato un post in cui avvisava i suoi utenti di non interagire con il protocollo dopo la diffusione della notizia dell'exploit.
La piattaforma di sicurezza PeckShield ha inizialmente condiviso i dettagli dell'attacco hacker tramite uno dei suoi X post. Secondo il post, l'hacker ha emesso 58 milioni di token CVG. In seguito all'attacco, i token sono stati convertiti in 60 WETH e 15,9k crvFRAX.
Convergence pubblica l'autopsia
Sembra che @Convergence_fi sia stato appena sfruttato (con una perdita di circa 210.000 $) per coniare 58 milioni di $CVG (58.718.395,05681812), che sono stati scambiati con 60 WETH e 15,9k crvFRAX.
Il bug fa parte deltracCvxRewardDistributor, che non convalida l'input dell'utente (non attendibile) per richiedere le ricompense.
Ecco… pic.twitter.com/EOS7q4reUC
— PeckShield Inc. (@peckshield) 1 agosto 2024
L' analisi post-mortem ha rivelato che la causa principale dell'exploit è stata la mancanza di convalida nell'input fornito dall'utente nella funzione "claimMultipleStaking" del contratto di distribuzione delle ricompensetractractractractractractractractractractractractractractractractracCiò ha permesso all'hacker di coniare tutti i token che erano stati accantonati per le emissioni di staking.
Dopo l'attacco, l'hacker ha riversato tutti i token CVG appena coniati in pool di liquidità.
Convergence attribuisce lapostresponsabilità della violazione alla "modifica
Convergence Finance ha affermato nel suo rapporto post-mortem che il protocollo è stato sottoposto a verifica quattro volte da diverse aziende. Tuttavia, il protocollo aveva recentemente modificato la parte compromessa del codice dopo la verifica.
Secondo il team, "La modifica (in primo luogo l'ottimizzazione del gas) ci ha portato a rimuovere la riga di codice che controllava l'input fornito alla funzione. Ci scusiamo con la nostra community e con gli investitori e ci assumiamo la piena responsabilità per quanto accaduto"
Tuttavia, il team assicura che tutti i fondi degli utenti sono al sicuro. In quella che sembra un'ulteriore misura precauzionale, ha anche chiesto agli investitori di ritirare i propri asset investiti.
A seguito dell'attacco hacker, anche iltracdi ricompensa è stato violato. Di conseguenza, gli staker non potranno più reclamare le proprie ricompense. Convergence ha dichiarato di essere al lavoro su una soluzione e che i risultati saranno presto comunicati.
Gli attacchi informatici ai sistemi di criptovalute sono in aumento ultimamente. Il settore ha registrato 16 segnalazioni di attacchi informatici ai sistemi di criptovalute, che hanno contribuito alla perdita di oltre 266 milioni di dollari a luglio.
