であるConvergenceが DeFi ハッキングの被害に遭い、攻撃者は21万ドル相当のネイティブトークンと、未請求のステーキング報酬2,000ドルを盗み出しました。 投稿 この攻撃のニュースが報じられた後、Convergenceはユーザーに対し、プロトコルを利用しないよう警告する
の詳細を公開しました ハッキング 。投稿によると、ハッカーは5,800万CVGトークンを鋳造しました。ハッキング後、これらのトークンは60WETHと15,900 crvFRAXに変換されました。
コンバージェンスが事後分析を発表
ようです @Convergence_fi が 悪用され (約 21 万ドルの損失)、5800 万 $CVG (58,718,395.05681812) が発行され、60 WETH と 15.9k crvFRAX に交換された
このバグは CvxRewardDistributor 契約の一部であり、報酬を請求するための (信頼できない) ユーザー入力をtrac。.
こちらです… pic.twitter.com/EOS7q4reUC
— PeckShield Inc. (@peckshield) 2024年8月1日
結果 事後分析の の「claimMultipleStaking」関数において、ユーザーが入力した内容の検証が不十分であったことにあると判明したtractractractractractractractractractractractractractractractractracハッカーはステーキング発行用に確保されていたすべてのトークンを不正に発行することができた。
ハッキング後、ハッカーは新しく発行されたCVGトークンをすべて流動性プールに投入しました。.
Convergence社は、エクスプロイトの原因は「popst-audit modification」にある
コンバージェンス・ファイナンスは事後分析レポートの中で、このプロトコルは複数の企業によって4回監査されていると述べています。しかし、このプロトコルは最近、監査後にコードの侵害を受けた部分を修正しました。.
チームによると、「今回の変更(まずはガス最適化)により、関数への入力をチェックしていたコード行を削除しました。コミュニティと投資家の皆様にお詫び申し上げます。この件について、私たちは全責任を負います。」
しかし、チームはすべてのユーザー資金が安全であることを保証しています。さらに、追加の予防措置として、投資家にステークした資産の引き出しも要請しました。.
ハッキングに続き、報酬tracも悪用されました。その結果、ステーカーは報酬を請求できなくなりました。コンバージェンスは修正に取り組んでおり、近日中に結果を発表すると述べています。.
を超える損失が発生しました 7月に16件の暗号資産ハッキングが報告され、2億6,600万ドル。
