Giao thức DeFi bị hack $212K vì xóa nhầm mã quan trọng

Cách thức tấn công

Giao thức tài chính phi tập trung Convergence vừa bị hack do một lỗ hổng trong hợp đồng thông minh vào ngày 1 tháng 8. Hacker đã tạo và bán 210 triệu đô la token gốc của nó và còn lấy thêm 2.000 đô la phần thưởng staking chưa được yêu cầu.

Theo báo cáo từ Wireshark, hacker đã khai thác hợp đồng CvxRewardDistributor của Convergence, tạo và bán 58 triệu token CVG với giá khoảng 210.000 đô la. Hacker cũng lấy thêm khoảng 2.000 đô la phần thưởng chưa được yêu cầu từ Convex, một giao thức DeFi tối ưu hóa phần thưởng cho các nhà cung cấp thanh khoản Curve.

Theo Etherscan, cuộc tấn công xảy ra vào ngày 1 tháng 8 vào khoảng 3:00 sáng UTC. Công ty bảo mật blockchain PeckShield cho biết sau khi tạo token CVG, hacker nhanh chóng đổi nó thành 60 wrapped-Ether và 15.900 Curve.fi FRAX. Điều này làm giá token quản trị CVG giảm gần 100%, hiện chỉ còn 0,0004 đô la với vốn hóa thị trường chỉ 57.000 đô la, theo CoinMarketCap.

Convergence cho biết cuộc tấn công xảy ra vì đội ngũ đã vô tình loại bỏ một dòng mã quan trọng trong hợp đồng thông minh phân phối phần thưởng staking CVG. Họ đã thực hiện thay đổi này sau khi mã hợp đồng thông minh được kiểm tra bốn lần.

“Thay đổi này (tối ưu hóa gas ban đầu) đã dẫn đến việc chúng tôi loại bỏ dòng mã kiểm tra đầu vào được cung cấp cho hàm,” họ giải thích. Hacker đã sử dụng điều này để khai thác hợp đồng CvxRewardDistributor thông qua hàm claimMultipleStaking. Điều này có nghĩa là hợp đồng staking không thể được xác thực, cho phép hacker truyền một hợp đồng độc hại riêng biệt với cùng chữ ký như hàm claimCvgCvxMultiple.

Hacker sau đó đã tạo tất cả các token dành cho phát thải staking và sau đó đổ chúng vào các pool thanh khoản CVG, Convergence cho biết. “Chúng tôi xin lỗi cộng đồng và các nhà đầu tư, và chúng tôi chịu hoàn toàn trách nhiệm về những gì đã xảy ra.” Convergence nói rằng quỹ của người dùng an toàn, nhưng đã khuyến nghị người dùng rút tài sản khỏi nền tảng.

“Do lỗ hổng, hợp đồng phần thưởng cho tích hợp Stake DAO hiện đang bị hỏng. Nó sẽ được sửa chữa, và người staking sẽ có thể yêu cầu phần thưởng của họ khi hoàn thành. Không có phần thưởng nào bị mất cho người dùng tích hợp Stake DAO,” họ nói. “Chúng tôi sẽ sớm thông báo về các khả năng cho tương lai của giao thức.” Convergence làm việc để tổng hợp thanh khoản, tăng lợi nhuận và cho phép khóa thanh khoản trong toàn bộ hệ sinh thái Curve Finance.

Tổng giá trị khóa trên Convergence giảm từ 5,79 triệu đô la xuống còn 3,69 triệu đô la, theo dữ liệu từ DefiLlama. Hệ sinh thái tiền điện tử đã mất khoảng 266 triệu đô la do các vụ hack trong tháng 7, chủ yếu đến từ vụ hack 230 triệu đô la của nền tảng giao dịch Ấn Độ WazirX vào ngày 18 tháng 7.

Chain Việt Nam