Il protocollo della finanza decentralizzata Convergence ha confermato di aver subito un attacco hacker tramite un exploit in uno dei suoi smart contract: l'assalitore è riuscito a coniare e vendere 210 milioni di dollari nel token nativo del protocollo, nonché a rubare 2.000$ di staking rewards non reclamate.
Secondo un post-mortem appena rilasciato da Wireshark, fondatore pseudonimo di Convergence, l'hacker avrebbe sfruttato una falla nel contratto CvxRewardDistributor del protocollo, consentendogli di coniare 58 milioni di token CVG. L'hacker ha anche rubato circa 2.000$ di ricompense non reclamate da Convex, un protocollo DeFi progettato per massimizzare le ricompense per i liquidity provider di Curve.
Secondo Etherscan, l'attacco si è verificato il 1° agosto intorno alle 3:00 UTC.
La società di sicurezza blockchain PeckShield ha rilevato che, dopo aver coniato i token CVG, l'hacker li ha rapidamente scambiati con 60 Wrapped Ether e 15.900 Curve.fi FRAX. Queste transazioni hanno portato a quasi zero il valore del token CVG: viene attualmente scambiato per 0,0004$ con un market cap di appena 64.000$, secondo i dati di CoinMarketCap.
Come è avvenuto l'attacco?
Convergence ha dichiarato che l'attacco è stato possibile perché il team ha accidentalmente rimosso una linea di codice essenziale dallo smart contract che si occupa di distribuire le staking rewards: "[La linea di codice rimossa] controllava l'input dato alla funzione." Pare che la modifica sia stata apportata dopo che il codice era stato sottoposto a ben quattro audit.
In particolare, l'hacker ha sfruttato la funzione claimMultipleStaking del contratto CvxRewardDistributor: lo staking contract non poteva essere convalidato, consentendo all'hacker di trasmettere un contratto maligno con la stessa firma della funzione claimCvgCvxMultiple. L'hacker ha poi coniato tutti i token dedicati alle emissioni di staking, scaricandoli poi nei liquiditi pool di CVG.
"Ci scusiamo con la nostra community e con gli investitori," ha dichiarato Convergence. "Ci assumiamo la piena responsabilità dell'accaduto." Gli sviluppatori garantiscono che i fondi degli utenti rimangono al sicuro, ma hanno comunque consigliato di prelevare al più presto gli asset dalla piattaforma:
"A causa dell'exploit, il rewards contract per l'integrazione Stake DAO è attualmente rotto. Il problema sarà risolto, gli staker potranno richiedere le loro ricompense una volta sistemato. Gli utilizzatori dell'integrazione Stake DAO non perderanno alcuna ricompensa. Comunicheremo presto le possibilità per il futuro del protocollo."