Giao thức DeFi Convergence đã xác nhận bị hack thông qua exploit (tấn công khai thác) hợp đồng thông minh vào ngày 1/8. Cụ thể, hacker đã đúc và bán 210 triệu đô la token gốc, cũng như đánh cắp 2.000 đô la tiền thưởng staking chưa được claim.
Theo kết quả điều tra mới được công bố từ Wireshark – nhà sáng lập ẩn danh của Convergence Protocol, hacker đã exploit hợp đồng CvxRewardDistributor của giao thức, cho phép họ đúc và bán 58 triệu token CVG với giá khoảng 210.000 đô la.
Hacker cũng đã đánh cắp khoảng 2.000 đô la phần thưởng chưa claim từ Convex, một giao thức DeFi thiết kế tối đa hóa phần thưởng cho các nhà cung cấp thanh khoản Curve.
Theo Etherscan, cuộc tấn công xảy ra vào khoảng 10:00 ngày 1/8.
Công ty bảo mật blockchain PeckShield lưu ý rằng sau khi đúc token CVG, hacker đã nhanh chóng swap thành 60 wrap ETH và 15.900 Curve.fi FRAX.
Nguồn: PeckShield
Kể từ đó, token quản trị CVG mất giá gần 100%, hiện đang giao dịch ở mức 0,0004 đô la với mức vốn hóa thị trường chỉ 57.000 đô la.
Biểu đồ giá CVG 4 giờ | Nguồn: Tradingview
Vụ hack xảy ra như thế nào?
Convergence cho biết cuộc tấn công có thể xảy ra do team đã vô tình xóa một dòng code quan trọng trong hợp đồng thông minh của mình dùng để phân phối phần thưởng staking CVG. Họ đã thực hiện thay đổi sau khi code hợp đồng thông minh được kiểm toán bốn lần.
“Việc sửa đổi (để tối ưu hóa gas) đã khiến chúng tôi loại bỏ dòng code đang kiểm tra đầu vào được cung cấp cho hàm”.
Hacker đã lợi dụng điều này để exploit hợp đồng CvxRewardDistributor thông qua chức năng ClaimMultipleStake.
Điều này có nghĩa là hợp đồng staking không thể được xác thực, cho phép hacker thông qua một hợp đồng độc hại riêng biệt có cùng chữ ký với hàm ClaimCvgCvxMultiple.
Convergence cho biết, hacker sau đó đã đúc tất cả các token dành riêng cho staking và dump vào pool thanh khoản CVG.
“Chúng tôi xin lỗi cộng đồng và các nhà đầu tư của mình. Chúng tôi chịu trách nhiệm hoàn toàn về những gì đã xảy ra”.
Convergence nói rằng tiền của người dùng được an toàn nhưng khuyến nghị rút tài sản khỏi nền tảng.
“Do bị exploit, hợp đồng phần thưởng cho việc tích hợp Stake DAO hiện đã bị hỏng. Nó sẽ được sửa và staker có thể claim phần thưởng sau khi hoàn thành. Không có phần thưởng nào bị mất đối với người dùng tích hợp Stake DAO. Chúng tôi sẽ sớm thông báo về các khả năng cho tương lai của giao thức”.
Convergence có tác dụng tổng hợp thanh khoản, tăng lợi nhuận và cho phép khóa thanh khoản trên hệ sinh thái Curve Finance.
Dữ liệu của DefiLlama cho thấy tổng giá trị bị khóa trên Convergence giảm từ 5,79 triệu đô la xuống còn 3,69 triệu đô la.
Hệ sinh thái tiền điện tử đã mất khoảng 266 triệu đô la do các vụ hack vào tháng 7, chủ yếu từ vụ hack 230 triệu đô la đối với nền tảng giao dịch WazirX của Ấn Độ vào ngày 18/7.
Đình Đình
Theo Cointelegraph
