コンバージェンス、21万ドルの DeFi プロトコルハッキング事件の事後分析が明らかに

であるConvergenceが DeFi ハッキングの被害に遭い、攻撃者は21万ドル相当のネイティブトークンと、未請求のステーキング報酬2,000ドルを盗み出しました。プロトコルこの攻撃のニュースが報じられた後、Convergenceはユーザーに対し、プロトコルを利用しないよう警告する投稿を行いました。

セキュリティプラットフォームPeckShieldは、当初、Xの投稿の一つでハッキングの詳細を公開しました。投稿によると、ハッカーは5,800万CVGトークンを鋳造しました。ハッキング後、これらのトークンは60WETHと15,900 crvFRAXに変換されました。

コンバージェンスが事後分析を発表  

@Convergence_fi が悪用され (約 21 万ドルの損失)、5800 万$CVG (58,718,395.05681812) が発行され、60 WETH と 15.9k crvFRAX に交換されたようです。

このバグは CvxRewardDistributor 契約の一部であり、報酬を請求するための (信頼できない) ユーザー入力をtrac。.

こちらです… pic.twitter.com/EOS7q4reUC

— PeckShield Inc. (@peckshield) 2024年8月1日

事後分析の結果、今回の攻撃の主な原因は、報酬分配の「claimMultipleStaking」関数において、ユーザーが入力した内容の検証が不十分であったことにあると判明したtracにより、tracの検証を行わずに悪意のあるコントラクトをtracハッカーはステーキング発行用に確保されていたすべてのトークンを不正に発行することができた。。報告書によると、ハッカーはステーキングした。これ

ハッキング後、ハッカーは新しく発行されたCVGトークンをすべて流動性プールに投入しました。.

Convergence社は、エクスプロイトの原因は「popst-audit modification」にある

コンバージェンス・ファイナンスは事後分析レポートの中で、このプロトコルは複数の企業によって4回監査されていると述べています。しかし、このプロトコルは最近、監査後にコードの侵害を受けた部分を修正しました。.

チームによると、「今回の変更（まずはガス最適化）により、関数への入力をチェックしていたコード行を削除しました。コミュニティと投資家の皆様にお詫び申し上げます。この件について、私たちは全責任を負います。」

しかし、チームはすべてのユーザー資金が安全であることを保証しています。さらに、追加の予防措置として、投資家にステークした資産の引き出しも要請しました。.

ハッキングに続き、報酬tracも悪用されました。その結果、ステーカーは報酬を請求できなくなりました。コンバージェンスは修正に取り組んでおり、近日中に結果を発表すると述べています。.

暗号資産ハッキングは最近増加傾向にあります。業界では7月に16件の暗号資産ハッキングが報告され、2億6,600万ドルを超える損失が発生しました。