Giao thức tài chính phi tập trung Convergence đã bị hack vào ngày 1 tháng 8 do khai thác hợp đồng thông minh. Kẻ tấn công đã đúc và bán số token gốc CVG của nền tảng trị giá 210 triệu USD, đồng thời lấy trộm thêm 2.000 USD tiền thưởng đặt cược chưa có người nhận.
Chi tiết khai thác
Cuộc tấn công nhắm vào hợp đồng CvxRewardDistributor, cho phép hacker kiếm được 58 triệu token CVG, sau đó được bán với giá khoảng 210.000 USD. Ngoài ra, khoảng 2.000 đô la phần thưởng chưa có người nhận từ Convex, một giao thức DeFi khác, đã bị đánh cắp. Theo dữ liệu của Etherscan, sự cố xảy ra vào khoảng 3:00 sáng UTC.
Công ty bảo mật chuỗi khối PeckShield báo cáo rằng kẻ tấn công đã nhanh chóng trao đổi mã thông báo CVG bị đánh cắp lấy 60 Ether được bọc và 15.900 Curve.fi FRAX. Hành động này đã khiến giá của mã thông báo CVG giảm gần 100%, hiện đang giao dịch ở mức 0,0004 USD, với mức vốn hóa thị trường chỉ là 57.000 USD, theo CoinMarketCap.
Nguyên nhân và phản ứng
Sự hội tụ tiết lộ rằng cuộc tấn công có thể xảy ra do vô tình loại bỏ một dòng mã quan trọng trong hợp đồng thông minh, nhằm mục đích tối ưu hóa gas. Sự thiếu sót này khiến hợp đồng đặt cược dễ bị tổn thương, cho phép tin tặc khai thác chức năng ClaimMultipleStake. Kẻ độc hại đã đúc tất cả các token dùng để đặt cược phát thải và sau đó đổ chúng vào nhóm thanh khoản CVG.
Trong một tuyên bố, nhóm Convergence đã xin lỗi cộng đồng và các nhà đầu tư, đồng thời thừa nhận hoàn toàn chịu trách nhiệm về việc giám sát. Họ đảm bảo rằng tiền của người dùng vẫn an toàn và khuyên người dùng nên rút tài sản khỏi nền tảng. Nhóm đang nỗ lực khắc phục hợp đồng phần thưởng bị hỏng khi tích hợp Stake DAO, đảm bảo với người dùng rằng phần thưởng của họ sẽ có thể nhận được sau khi vấn đề được giải quyết. Họ cũng hứa sẽ liên lạc sâu hơn về tương lai của giao thức.
Tác động và bối cảnh rộng hơn
Theo dữ liệu của DefiLlama, sự hội tụ, một nền tảng được thiết kế để tổng hợp tính thanh khoản và nâng cao lợi nhuận trong hệ sinh thái Curve Finance, đã chứng kiến tổng giá trị bị khóa (TVL) giảm từ 5,79 triệu USD xuống còn 3,69 triệu USD sau vụ hack.
Vụ việc này làm tăng thêm một loạt vụ hack tiền điện tử, khiến hệ sinh thái mất khoảng 266 triệu USD chỉ trong tháng 7. Điều này bao gồm vụ hack trị giá 230 triệu USD vào nền tảng giao dịch WazirX của Ấn Độ vào ngày 18 tháng 7.