El protocolo de finanzas descentralizadas Convergence ha confirmado que fue hackeado a través de una explotación de un contrato inteligente el 1 de agosto, con un hacker acuñando y vendiendo USD 210 millones en su token nativo, así como robando USD 2,000 en recompensas de staking no reclamadas.
Según un post-mortem recién publicado por Wireshark, el fundador seudónimo del protocolo Convergence, el hacker explotó el contrato CvxRewardDistributor del protocolo, lo que les permitió acuñar y vender 58 millones de tokens CVG por aproximadamente USD 210,000.
El hacker también robó aproximadamente USD 2,000 de recompensas no reclamadas de Convex, un protocolo DeFi diseñado para maximizar las recompensas para los proveedores de liquidez de Curve.
Según Etherscan, el ataque ocurrió el 1 de agosto alrededor de las 3:00 am UTC.
La firma de seguridad blockchain, PeckShield, señaló que después de acuñar los tokens CVG, el hacker rápidamente los intercambió por 60 wrapped-Ether y 15,900 Curve.fi FRAX.
Los movimientos han llevado a una caída de precio casi total del token de gobernanza CVG, que ahora cotiza a USD 0.0004 con una capitalización de mercado de solo USD 57,000, según muestran datos de CoinMarketCap.
Cómo ocurrió el hackeo
Convergence afirmó que el ataque fue posible porque el equipo eliminó accidentalmente una línea esencial de código en su contrato inteligente, que distribuye las recompensas de staking de CVG. Hicieron el cambio después de que el código del contrato inteligente fuera auditado cuatro veces.
“La modificación (optimización de gas en primer lugar) nos llevó a eliminar la línea de código que estaba verificando la entrada proporcionada a la función”, explicó.
El hacker utilizó esto para explotar el contrato CvxRewardDistributor a través de la función claimMultipleStaking.
Esto significó que el contrato de staking no pudo ser validado, permitiendo al hacker pasar un contrato malicioso separado con la misma firma que la función claimCvgCvxMultiple.
El hacker luego acuñó todos los tokens dedicados a las emisiones de staking y los volcó en los pools de liquidez de CVG, dijo Convergence.
“Pedimos disculpas a nuestra comunidad e inversores, y asumimos toda la responsabilidad por lo ocurrido”.
Convergence afirma que los fondos de los usuarios están seguros, pero ha recomendado a los usuarios retirar los activos de la plataforma.
“Debido al exploit, el contrato de recompensas para la integración de Stake DAO está actualmente roto. Se solucionará, y los stakers podrán reclamar sus recompensas una vez que esté arreglado. No se han perdido recompensas para los usuarios de la integración de Stake DAO”, dijo.
"Pronto comunicaremos sobre las posibilidades para el futuro del protocolo".
Convergence trabaja para agregar liquidez, aumentar los rendimientos y permitir el bloqueo líquido en el ecosistema de Curve Finance.
El valor total bloqueado en Convergence cayó de 5,790,000 a 3,690,000 dólares, según muestra datos de DefiLlama.
El ecosistema de criptomonedas perdió alrededor de USD 266 millones debido a hackeos en julio, principalmente provenientes del hackeo de USD 230 millones en la plataforma de trading india, WazirX, el 18 de julio.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.