Постфактумный анализ взлома DeFi протокола Convergence на сумму 210 000 долларов США

Convergence DeFi стал жертвой взлома, в результате которого злоумышленники похитили токены на сумму 210 000 долларов и невостребованные вознаграждения за стейкинг на сумму 2000 долларов. После того, как стало известно об уязвимости, Convergence опубликовал сообщение, предупреждающее пользователей о недопустимости взаимодействия с протоколом.

Платформа безопасности PeckShield первоначально поделилась подробностями взлома в одном из своих постов на X. Согласно посту, хакер выпустил 58 миллионов токенов CVG. После взлома токены были конвертированы в 60 WETH и 15,9 тыс. crvFRAX.

Convergence выпускает материалы посмертно  

Похоже, @Convergence_fi просто воспользовались ситуацией (с убытком около 210 тыс. долларов), чтобы выпустить 58 млн $CVG (58 718 395,05681812), которые были обменяны на 60 WETH и 15,9 тыс. crvFRAX.

Ошибка является частьюtracCvxRewardDistributor, который не проверяет (ненадежный) ввод пользователя для получения вознаграждений.

Здесь… pic.twitter.com/EOS7q4reUC

— PeckShield Inc. (@peckshield) 1 августа 2024 г.

Анализ инцидента показал, что основной причиной взлома стало отсутствие проверки входных данных, предоставленных пользователем в функции «claimMultipleStaking» контракта распределения вознагражденийtracСогласно отчету, хакер выполнил вредоносный контрактtracпроверки условий стейкингаtracЭто позволило ему выпустить все токены, отложенные для эмиссии в рамках стейкинга.

После взлома хакер разместил все вновь выпущенные токены CVG в пулах ликвидности.

Компания Convergence объясняет уязвимость «пост-аудитной модификацией».

В своем отчете по итогам проверки Convergence Finance упомянула, что протокол был проверен четырьмя различными компаниями. Однако недавно, после проверки, протокол внес изменения в скомпрометированную часть кода.

По словам команды, «модификация (в первую очередь, оптимизация расхода газа) привела к удалению строки кода, проверявшей входные данные, передаваемые функции. Мы приносим извинения нашему сообществу и инвесторам и берем на себя полную ответственность за произошедшее»

Однако команда заверяет, что все средства пользователей находятся в безопасности. В качестве дополнительной меры предосторожности она также попросила инвесторов вывести свои заложенные активы.

После взлома был также использован механизмtracвознаграждений. В результате участники стейкинга теперь не смогут получить свои вознаграждения. Компания Convergence заявила, что работает над исправлением, и результаты будут объявлены в ближайшее время.

В последнее время участились случаи взлома криптовалютных систем. В июле в отрасли было зафиксировано 16 таких взломов, в результате которых был нанесен ущерб на сумму более 266 миллионов долларов.