В результате взлома DeFi протокола из-за уязвимости смарт-контракта, возникла потеря в размере 212 тыс. долл

2024-08-14, 02:52

[TL; DR]

1 августа децентрализованный финансовый протокол Convergence столкнулся с нарушением безопасности из-за уязвимости смарт-контракта.

Хакер или группа хакеров сумели воспользоваться уязвимостью, чеканя и продавая свою местную монету на сумму $210,000, а также украв $2,000 неполученных вознаграждений за стейкинг.

Pseudonymous, основатель Convergence, предоставил подробный отчет о посмертном анализе, в котором сообщается, что хакер нацелился на контракт CvxRewardDistributor протокола.

Это позволило хакеру чеканить и продавать 58 миллионов токенов CVG, принеся приблизительно 210 000 долларов.

Кроме того, хакер похитил примерно $2,000 неоплаченных вознаграждений из Convex, протокола DeFi, направленного на оптимизацию вознаграждений для Кривой поставщики ликвидности. Данные Etherscan указывают на то, что атака произошла около 3:00 утра UTC 1 августа.

Компания по безопасности блокчейна PeckShield заметила, что после эмиссии токенов CVG хакер быстро обменял их на 60 обернутых Ether и 15 900 Curve.fi. FRAX В результате этих действий токен управления CVG испытал почти 100% обвал цены, теперь торгуется по цене $0.0004 с рыночной капитализацией всего $57,000, согласно CoinMarketCap.

Детали инцидента

Convergence сообщил, что нарушение произошло из-за того, что команда случайно удалила важную строку кода в своем смарт-контракте, отвечающую за распределение наград CVG за стейкинг. Это изменение было внесено после того, как смарт-контракт был протестирован четыре раза. «Модификация, предназначенная для оптимизации газа, привела к удалению строки кода, которая проверяла ввод, предоставленный функции», - объяснила команда.

Хакер использовал контракт CvxRewardDistributor через функцию claimMultipleStaking, обходя проверку. Это позволило хакеру использовать отдельный зловредный контракт с тем же подписью, что и функция claimCvgCvxMultiple. В результате хакер смайнил все токены, выделенные для эмиссии стейкинга, и продал их в пулах ликвидности CVG, как сообщила Convergence.

В то время как Convergence заверил, что средства пользователей остаются безопасными, он рекомендовал пользователям вывести свои активы с платформы. «Из-за эксплойта контракт на награды для интеграции Stake DAO в настоящее время не функционирует. Он будет отремонтирован, и стейкеры смогут получить свои награды после его исправления. Никакие награды не были потеряны для пользователей интеграции Stake DAO», - заявил Convergence.

Convergence стремится агрегировать ликвидность, улучшить доходность и обеспечить возможность ликвидного блокирования в экосистеме Curve Finance. После хакерской атаки, общая сумма заблокированных средств на Convergence снизилась с $5.79 миллионов до $3.69 миллионов, согласно данным DefiLlama. В июле в криптоэкосистеме было потеряно примерно $266 миллионов из-за хакерских атак, преимущественно из-за нарушения безопасности индийской торговой платформы на сумму $230 миллионов. WazirX 18 июля.

Протокол схождения Объяснено

Convergence Protocol - это децентрализованная финансовая (DeFi) платформа, разработанная для увеличения ликвидности и возможностей получения дохода в экосистеме Curve Finance. Ее основная цель - агрегация ликвидности из различных источников, оптимизация доходности для пользователей и облегчение ликвидного стейкинга, позволяющего участникам закрепить свои активы, сохраняя при этом ликвидность.

Протокол достигает этого путем интеграции различных DeFi-сервисов и продуктов, создавая безупречный опыт для пользователей, стремящихся максимизировать доход от заложенных активов. Он предоставляет платформу, где пользователи могут заложить свои токены и получать вознаграждение, участвовать в пулах ликвидности и использовать стратегии фарминга доходности. Таким образом, Convergence помогает пользователям максимально эффективно использовать свои цифровые активы без необходимости постоянного ручного вмешательства и мониторинга.

Одной из ключевых особенностей Convergence является фокус на оптимизации газа и эффективном проектировании смарт-контрактов. Это гарантирует, что транзакции на платформе являются экономически эффективными и быстрыми, минимизируя накладные расходы, связанные с операциями на блокчейне. Кроме того, Convergence использует надежную систему безопасности для защиты средств пользователей и поддержания целостности платформы.

Путем своего подхода к DeFi, Convergence стремится открыть доступ к передовым финансовым инструментам и возможностям, давая пользователям возможность участвовать в децентрализованной экономике легко и уверенно. Интеграция с экосистемой Curve Finance дополнительно усиливает его привлекательность.

Реакция рынка после эксплуатации

Реакция рынка на взлом протокола Convergence 1 августа 2024 года была суровой и мгновенной. В результате взлома было произведено чеканка и несанкционированная продажа 58 миллионов токенов CVG, что привело к потере приблизительно 210 000 долларов. Этот эксплойт вызвал обвал цены CVG на 99%, снизившись с уровня около 0.12 доллара до всего лишь 0.0004 доллара. Это резкое падение уничтожило полностью разбавленную рыночную стоимость токена, которая ранее оценивалась в 17 миллионов долларов.

После взлома Convergence выпустила срочное сообщение, в котором рекомендовала пользователям избегать взаимодействия с протоколом, чтобы предотвратить дальнейшие риски. Средства, украденные хакером, были быстро конвертированы в обернутые стейблкоины Ether (wETH) и crvFRAX, которые затем были направлены через Tornado Cash, чтобы скрыть следы.

Реакция рынка подчеркнула значительную потерю доверия к протоколу, с инвесторами быстро выводящими свои средства и общим настроением, становящимся крайне негативным. Инцидент подчеркнул критическую важность надежного меры безопасности в протоколах DeFi и потенциальное влияние на стоимость токена и доверие инвесторов.

Хакерские атаки DeFi 2024 года

В 2024 году сектор децентрализованных финансов (DeFi) продолжал сталкиваться с серьезными проблемами безопасности, и несколько громких взломов привели к значительным финансовым потерям. Один из самых заметных инцидентов произошел с Prisma Finance, платформой ликвидного рестейкинга, которая потерпела убытки в размере 10 миллионов долларов из-за использования флеш-кредита в марте 2024 года. Злоумышленник выкачал около 3 257,7 ETH из протокола, что заставило Prisma Finance приостановить свою деятельность для тщательного расследования.

Еще одним крупным нарушением стала исчезновение криптовалютной биржи BitForex после вывода почти 57 миллионов долларов из ее горячих кошельков в феврале 2024 года. Это происшествие лишило пользователей доступа к их аккаунтам и подчеркнуло непрекращающиеся регуляторные проблемы в Гонконге, где BitForex была зарегистрирована.

Кроме того, в феврале платформа PlayDapp, занимающаяся крипто-играми и NFT, столкнулась с эксплуатацией, в результате которой было несанкционированно выпущено 1,79 миллиарда токенов PLA стоимостью более 290 миллионов долларов. Злоумышленник начал отмывать средства после эксплуатации, что демонстрирует сложности, сопровождающие отслеживание и восстановление украденных активов в пространстве DeFi.

Май 2024 года также был отмечен значительным количеством взломов, общим объемом убытков свыше 600 миллионов долларов. Среди них скомпрометирование личного ключа привело к убытку в размере 70 миллионов долларов для крипто-кита, хотя позже похищенные средства были возвращены злоумышленником. Кроме того, GNUS, Фантом, пострадал от взлома на сумму 1,27 миллиона долларов из-за уязвимости, которая позволяла создавать поддельные токены GNUS.

Автор:Андрей, исследователь Gate.io

Эта статья представляет только точку зрения исследователя и не является инвестиционными рекомендациями.

Gate.io оставляет за собой все права на эту статью. Перепост статьи будет разрешен при условии ссылки на Gate.io. Во всех случаях будут предприняты юридические меры в связи с нарушением авторских прав.