Convergence DeFi стал жертвой взлома, в результате которого злоумышленники похитили токены на сумму 210 000 долларов и невостребованные вознаграждения за стейкинг на сумму 2000 долларов. После того, как стало известно об уязвимости, Convergence опубликовал сообщение, предупреждающее пользователей о недопустимости взаимодействия с протоколом.
Платформа безопасности PeckShield первоначально поделилась подробностями взлома в одном из своих постов на X. Согласно посту, хакер выпустил 58 миллионов токенов CVG. После взлома токены были конвертированы в 60 WETH и 15,9 тыс. crvFRAX.
Convergence выпускает материалы посмертно
Похоже, @Convergence_fi просто воспользовались ситуацией (с убытком около 210 тыс. долларов), чтобы выпустить 58 млн $CVG (58 718 395,05681812), которые были обменяны на 60 WETH и 15,9 тыс. crvFRAX.
Ошибка является частьюtracCvxRewardDistributor, который не проверяет (ненадежный) ввод пользователя для получения вознаграждений.
Здесь… pic.twitter.com/EOS7q4reUC
— PeckShield Inc. (@peckshield) 1 августа 2024 г.
Анализ инцидента показал, что основной причиной взлома стало отсутствие проверки входных данных, предоставленных пользователем в функции «claimMultipleStaking» контракта распределения вознагражденийtractractractractractractractractractractractractractractractractracЭто позволило ему выпустить все токены, отложенные для эмиссии в рамках стейкинга.
После взлома хакер разместил все вновь выпущенные токены CVG в пулах ликвидности.
Компания Convergence объясняет уязвимость «пост-аудитной модификацией».
В своем отчете по итогам проверки Convergence Finance упомянула, что протокол был проверен четырьмя различными компаниями. Однако недавно, после проверки, протокол внес изменения в скомпрометированную часть кода.
По словам команды, «модификация (в первую очередь, оптимизация расхода газа) привела к удалению строки кода, проверявшей входные данные, передаваемые функции. Мы приносим извинения нашему сообществу и инвесторам и берем на себя полную ответственность за произошедшее»
Однако команда заверяет, что все средства пользователей находятся в безопасности. В качестве дополнительной меры предосторожности она также попросила инвесторов вывести свои заложенные активы.
После взлома был также использован механизмtracвознаграждений. В результате участники стейкинга теперь не смогут получить свои вознаграждения. Компания Convergence заявила, что работает над исправлением, и результаты будут объявлены в ближайшее время.
В последнее время участились случаи взлома криптовалютных систем. В июле в отрасли было зафиксировано 16 таких взломов, в результате которых был нанесен ущерб на сумму более 266 миллионов долларов.
