Хак DeFi протоколу призвів до втрати $212K через вразливість Смарт-контракту

[TL; DR]

1 серпня протокол децентралізованої фінансової системи Convergence став жертвою порушення безпеки через вразливість смарт-контракту.

Хакер або команда хакерів змогла використати уразливість, створивши та продавши токен на суму $210 000, а також викравши $2 000 невитрачених стейкінгових винагород.

Wireshark, псевдонімний засновник Convergence, надав докладний пост-мортемний звіт, в якому розкривається, що хакер націлився на контракт CvxRewardDistributor протоколу.

Це дозволило хакеру надрукувати та продати 58 мільйонів токенів CVG, що призвело до отримання приблизно 210 000 доларів.

Читати також: Прогноз екосистеми DeFi на 2024 рік: ключові тенденції та напрямки

Додатково хакер вкрав близько $2,000 невимаганих винагород з Convex, протоколу DeFi, спрямованому на оптимізацію винагород для Curve постачальники ліквідності. Дані Etherscan свідчать, що атака сталася близько 3:00 ранку за UTC 1 серпня.

PeckShield, фірма з безпеки блокчейнів, зауважила, що після випуску токенів CVG хакер швидко перетворив їх на 60 згорнутих Ether та 15 900 Curve.fi. FRAX. В результаті цих дій токен управління CVG зазнав майже 100% обвалу ціни, і зараз торгується на рівні $0,0004 з ринковою капіталізацією всього $57 000, за даними CoinMarketCap.

Деталі інциденту

Convergence повідомила, що порушення сталося через те, що команда ненавмисно видалила ключовий рядок коду у своєму смарт-контракті, відповідальному за розподіл винагород за стейкінг CVG. Ця зміна була зроблена після того, як смарт-контракт було протестовано чотири рази. «Модифікація, яка була спрямована на оптимізацію газу, призвела до видалення рядка коду, який перевіряв введені дані для функції», пояснила команда.

Хакер скористався контрактом CvxRewardDistributor через функцію claimMultipleStaking, обійшовши перевірку. Це дозволило зловмиснику використовувати окремий шкідливий контракт з тією ж підписом, що й функція claimCvgCvxMultiple. В результаті хакер видобув усі токени, призначені для емісії стейкінгу, та продав їх у пулах ліквідності CVG, повідомила Convergence.

Хоча Convergence запевнила, що кошти користувачів залишаються безпечними, вона рекомендує користувачам вивести свої активи з платформи. «Через використання, контракт розрахунків за інтеграцію Stake DAO в даний момент не працює. Він буде відновлений, і стейкери зможуть отримати свої винагороди після виправлення. Для користувачів інтеграції Stake DAO винагороди не втрачені», - заявила Convergence.

Convergence має на меті агрегувати ліквідність, покращувати доходи та дозволяти заблокування ліквідності в екосистемі Curve Finance. За даними DefiLlama, після хакерської атаки загальна кількість заблокованих коштів на Convergence скоротилася з $5,79 мільйонів до $3,69 мільйонів. У липні криптовалютна екосистема втратила приблизно $266 мільйонів через хакерські атаки, переважно через порушення на індійській торговій платформі на $230 мільйонів. WazirX 18 липня.

Пояснення протоколу збіжності

Протокол зближення - це децентралізована фінансова (DeFi) платформа, призначена для покращення ліквідності та можливостей доходу в екосистемі Curve Finance. Її основна мета - агрегувати ліквідність з різних джерел, оптимізувати доходи для користувачів та сприяти рідкісному стейкингу, дозволяючи учасникам блокувати свої активи, при цьому зберігаючи ліквідність.

Це досягається завдяки інтеграції різноманітних послуг та продуктів DeFi, що створює безшовний досвід для користувачів, які прагнуть максимізувати свій прибуток від стейкінгу активів. Це забезпечує платформу, де користувачі можуть стейкати свої токени та отримувати винагороду, брати участь у ліквідності та займатися стратегіями фермінгу доходів. Таким чином, Convergence допомагає користувачам максимально використовувати свої цифрові активи без необхідності постійного ручного втручання та моніторингу.

Останні новини: $168 млн. Запаси засновника Curve стикаються зі стресом

Однією з ключових особливостей Convergence є його спрямованість на оптимізацію газу та ефективне проектування розумного контракту. Це забезпечує ефективність і швидкість транзакцій на платформі, зменшуючи накладні витрати, пов’язані з операціями блокчейн. Крім того, Convergence використовує міцну систему безпеки для захисту коштів користувачів та збереження цілісності платформи.

Через свій підхід до DeFi, Convergence має на меті забезпечити доступ до передових фінансових інструментів та можливостей, надаючи користувачам можливість брати участь у децентралізованій економіці з легкістю та впевненістю. Його інтеграція з екосистемою Curve Finance ще більше підвищує його привабливість.

Читайте також: 8 протоколів DeFi з потенціалом - airdrops, дохід, GF

Реакція ринку після використання вразливості

Реакція ринку на вторгнення в протокол Convergence 1 серпня 2024 року була суворою та негайною. Вторгнення призвело до випуску та несанкціонованої продажі 58 мільйонів токенів CVG, що призвело до втрати приблизно 210 000 доларів США. Цей експлойт призвів до різкого падіння ціни CVG на 99%, знизившись з приблизно 0,12 долара до всього 0,0004 долара. Цей драматичний спад знищив повну ринкову вартість токена, яка раніше оцінювалася в 17 мільйонів доларів.

Після взлому Convergence випустила термінове сповіщення, радячи користувачам уникати взаємодії з протоколом, щоб запобігти подальшим ризикам. Гроші, вкрадені хакером, швидко були конвертовані в обгорнутий Ether (wETH) та стабільні монети crvFRAX, які потім були направлені через Tornado Cash, щоб приховати їх слід.

Реакція ринку підкреслила значну втрату довіри до протоколу, з інвесторами, які швидко виводили свої кошти, і загальний настрій став дуже негативним. Інцидент підкреслив критичну важливість надійних протоколів. заходи безпеки в протоколах DeFi і потенційний вплив порушень безпеки на вартість токенів та довіру інвесторів.

Хаки DeFi 2024 року

У 2024 році сектор децентралізованої фінансової (DeFi) продовжує зіткнення зі значними проблемами безпеки, з численними високопрофільними вторгненнями, що призводять до значних фінансових втрат. Один з найбільш помітних інцидентів стався з Prisma Finance, платформою з ліквідним рестейкінгом, яка зазнала збитку в $10 мільйонів через експлойт флеш-кредиту в березні 2024 року. Нападник витягнув близько 3 257,7 ETH з протоколу, що змусило Prisma Finance призупинити свою діяльність для проведення ретельного розслідування.

Читати також: Протокол DeFi, призначений для ринкової волатильності

Ще один серйозний злом пов’язаний з BitForex, криптовалютною біржею, яка зникла після того, як у лютому 2024 року вивела зі своїх гарячих гаманців майже 57 мільйонів доларів. Цей інцидент залишив користувачів без доступу до своїх рахунків і висвітлив поточні регуляторні проблеми в Гонконзі, де була зареєстрована компанія BitForex.

Крім того, компанія PlayDapp, платформа для криптовалютних ігор та NFT, зазнала вразливості у лютому, яка призвела до несанкціонованого виготовлення 1,79 мільярда токенів PLA, на суму понад 290 мільйонів доларів США. Хакер почав відмивати гроші після вразливості, що демонструє складності, пов’язані з відстеженням та поверненням викрадених активів у просторі DeFi.

Також у травні 2024 року сталося значна кількість вторгнень, загальна сума збитків становила понад 600 мільйонів доларів США. Серед них, компрометація приватного ключа призвела до втрати 70 мільйонів доларів США для криптовалютного кита, хоча злодій пізніше повернув вкрадені кошти. Крім того, GNUS, Fantom-заснований на проекті, зазнав злому на суму 1,27 мільйона доларів через вразливість, яка дозволила карбувати підроблені токени GNUS.