🌋 Convergence потерял около $210 000 из-за эксплойта
опубликовано 2 авг 2024
Атака произошла 1 августа. Ошибка в смарт-контракте DeFi-протокола позволила хакеру заменить и присвоить 58 млн токенов CVG. После этого злоумышленник продал токены за $210 000.
Соответствующий эксплойт обнаружили в CvxRewardDistributor — одном из смарт-контрактов механизма стейкинга, который отвечает за минтинг CVG и распределение вознаграждений. Из-за программной ошибки этот контракт не проводил необходимой валидации данных от пользователей, поэтому хакер смог загрузить собственный код, запустить минтинг и присвоить все выпущенные токены.
По словам разработчиков Convergence, проблемный смарт-контракт был изменен после аудита безопасности. В попытке оптимизировать код и уменьшить затраты газа на его обработку они случайно удалили строку, которая отвечала за валидацию данных.
Сейчас эксплойт уже устранен, но механизм вознаграждений для стейкеров пока не работает. Хотя средства пользователей не пострадали, разработчики порекомендовали на всякий случай вывести активы из стейкинга.