O Convergence, um DeFi , foi vítima de um ataque hacker no qual os invasores roubaram o equivalente a US$ 210.000 em seu token nativo e US$ 2.000 em recompensas de staking não reclamadas. Após a divulgação da notícia do ataque, o Convergence publicou um alerta para que seus usuários não interagissem com o protocolo.
A plataforma de segurança PeckShield compartilhou inicialmente os detalhes do ataque por meio de uma de suas publicações no Google+. De acordo com a publicação, o hacker criou 58 milhões de tokens CVG. Após o ataque, os tokens foram convertidos em 60 WETH e 15,9 mil crvFRAX.
Convergence divulga relatório pós-mortem
Parece que a @Convergence_fi foi explorada (com uma perda de aproximadamente US$ 210 mil) para gerar 58 milhões de $CVG (58.718.395,05681812), que foram trocados por 60 WETH e 15,9 mil crvFRAX.
O bug faz parte dotracCvxRewardDistributor, que não valida a entrada (não confiável) do usuário para reivindicar recompensas.
Aqui… pic.twitter.com/EOS7q4reUC
— PeckShield Inc. (@peckshield) 1 de agosto de 2024
A análise pós-ataque revelou que a principal causa da exploração foi a falta de validação dos dados fornecidos pelo usuário na função “claimMultipleStaking” do contrato de distribuição de recompensastractractractractractractractractractractractractractractractractracIsso permitiu que o hacker criasse todos os tokens reservados para emissões de staking.
Após o ataque, o hacker despejou todos os tokens CVG recém-criados em pools de liquidez.
A Convergence culpa a 'modificação pós-auditoria' pela exploração.
A Convergence Finance mencionou em seu relatório pós-incidente que o protocolo foi auditado quatro vezes por diferentes empresas. No entanto, após a auditoria, a parte comprometida do código foi recentemente modificada.
Segundo a equipe, “A modificação (a otimização de gás, em primeiro lugar) nos levou a remover a linha de código que verificava a entrada fornecida à função. Pedimos desculpas à nossa comunidade e aos nossos investidores e assumimos total responsabilidade pelo ocorrido.”
No entanto, a equipe garante que todos os fundos dos usuários estão seguros. Em uma aparente medida de precaução adicional, também solicitou aos investidores que retirassem seus ativos em staking.
Após o ataque, otracde recompensas também foi explorado. Como resultado, os participantes não poderão mais reivindicar suas recompensas. A Convergence afirmou que está trabalhando em uma correção e que uma solução será comunicada em breve.
Os ataques a criptomoedas têm aumentado ultimamente. O setor registrou 16 ataques desse tipo, que contribuíram para uma perda de mais de US$ 266 milhões em julho.
