Convergence, un protocolo DeFi, fue víctima de un hack en el que los atacantes saquearon su token nativo por valor de 210.000 dólares y 2.000 dólares en recompensas de apuestas no reclamadas. Convergence envió una publicación advirtiendo a sus usuarios que no interactuaran con el protocolo después de que se difundiera la noticia del exploit.
La plataforma de seguridad PeckShield inicialmente compartió detalles del hack a través de una de sus publicaciones en X. Según la publicación, el hacker acuñó 58 millones de tokens CVG. Después del hack, los tokens se convirtieron en 60 WETH y 15,9k crvFRAX.
Publicaciones de convergencia post-mortem
Parece que @Convergence_fi acaba de ser aprovechado (con una pérdida de ~$210,000) para acuñar 58 millones de $CVG (58,718,395.05681812), que se cotizan por 60 WETH y 15,9k crvFRAX.
El error es parte del contrato CvxRewardDistributor, que no valida las entradas de los usuarios (no confiables) para reclamar recompensas.
Aquí… pic.twitter.com/EOS7q4reUC
– PeckShield Inc. (@peckshield) 1 de agosto de 2024
La autopsia reveló que la razón principal del exploit es la falta de validación de la entrada proporcionada por el usuario en la función "reclamarMultipleStake" del contrato de distribución de recompensas. Según el informe, el hacker ejecutó el contrato malicioso sin validación del contrato de participación. Esto permitió al hacker acuñar todos los tokens reservados para apostar las emisiones.
Después del hack, el hacker arrojó todos los tokens CVG recién acuñados en fondos de liquidez.
Convergence atribuye el exploit a una "modificación posterior a la auditoría" .
Convergence Finance mencionó en su informe post mortem que el protocolo ha sido verificado 4 veces por varias empresas. Sin embargo, el protocolo había modificado recientemente la parte comprometida del código después de la auditoría.
Según el equipo, “El cambio (primero la optimización del gas) nos llevó a eliminar la línea de código que controlaba la entrada dada a la función. Pedimos disculpas a nuestra comunidad y a los inversores y asumimos toda la responsabilidad por lo sucedido".
Sin embargo, el equipo se asegura de que todos los fondos de los usuarios estén seguros. En lo que parece ser una medida de precaución adicional, también ha pedido a los inversores que retiren los activos invertidos.
Tras el hackeo, también se explotó el contrato de premio. Como resultado, los apostadores no podrán reclamar sus recompensas ahora. Convergence dijo que está trabajando en una solución y el resultado se anunciará pronto.
Los ataques de piratería a las criptomonedas han aumentado últimamente. Se reportaron 16 hackeos de criptomonedas en la industria, lo que contribuyó a la pérdida de más de 266 millones de dólares en julio .