컨버전스(Convergence DeFi 프로토콜 해킹 사건, 21만 달러 피해 규모 분석 결과 공개

탈 컨버전스(Convergence DeFi )가 해킹 공격을 받아 네이티브 토큰 21만 달러어치와 미청구 스테이킹 보상 2천 달러가 탈취당했습니다. 컨버전스는 프로토콜인 해킹 소식이 전해진 후 사용자들에게 프로토콜 이용을 자제하라는 공지 를 발표했습니다

보안 플랫폼 PeckShield는 자사의 X 게시물 중 하나를 통해 해킹 사건 에 대한 자세한 내용을 처음으로 공개했습니다 . 해당 게시물에 따르면 해커는 5,800만 개의 CVG 토큰을 발행했습니다. 해킹 이후, 이 토큰은 60 WETH와 15,900 crvFRAX로 변환되었습니다.

컨버전스, 사후 분석 발표  

@Convergence_fi가 약 21만 달러의 손실을 입고 5,800만 CVG (58,718,395.05681812)를 발행하는 데 악용당한 것으로 보이며 , 이는 60 WETH와 15,900 crvFRAX로 교환되었습니다.

이 버그는 CvxRewardDistributor 계약의 일부로, 보상을 청구하기 위한 (신뢰할 수 없는) 사용자 입력을trac하지 않습니다.

pic.twitter.com/EOS7q4reUCEOS여기 …

— PeckShield Inc. (@peckshield) 2024년 8월 1일

사후 분석 결과, 이번 공격 의 주요 원인은 보상 분배 의 "claimMultipleStaking" 함수에서 사용자가 입력한 값에 대한 유효성 검사가 부족했기 때문인 것으로 밝혀졌습니다trac. 보고서에 따르면, 해커는trac스테이킹 계약의 유효성 검사 없이 악성 계약을trac. 이로 인해 해커는 스테이킹 발행을 위해 따로 보관되어 있던 모든 토큰을 탈취할 수 있었습니다.

해킹 이후 해커는 새로 발행된 CVG 토큰을 모두 유동성 풀에 투입했습니다.

Convergence는 '사후 감사 수정'이 악용의 원인이라고 지적했습니다.

컨버전스 파이낸스는 사후 분석 보고서에서 해당 프로토콜이 여러 회사에 의해 4차례 감사를 받았다고 언급했습니다. 그러나 해당 프로토콜은 최근 감사 후 문제가 드러난 코드 부분을 수정했습니다.

팀 측은 "이번 수정(특히 가스 최적화)으로 인해 함수에 전달되는 입력값을 확인하는 코드 라인을 제거하게 되었습니다. 커뮤니티와 투자자 여러분께 진심으로 사과드리며, 이번 사태에 대해 전적으로 책임을 지겠습니다."라고 밝혔습니다

하지만 해당 팀은 모든 사용자 자금이 안전하다고 장담했습니다. 추가적인 예방 조치로 보이는 움직임으로, 투자자들에게 스테이킹된 자산을 인출해달라고 요청하기도 했습니다.

해킹 이후 보상trac또한 악용되었습니다. 그 결과, 스테이킹 참여자들은 현재 보상을 수령할 수 없습니다. 컨버전스 측은 문제 해결을 위해 노력하고 있으며, 조만간 결과를 발표할 예정이라고 밝혔습니다.

최근 암호화폐 해킹이 증가하고 있습니다. 7월 한 달 동안 16건의 암호화폐 해킹 사건이 발생했으며, 이로 인해 2억 6,600만 달러.