🌋 Convergence втратив близько $210 000 через експлойт
опубліковано 2 серп 2024
Атака сталася 1 серпня. Помилка в смартконтракті DeFi-протоколу дозволила хакеру замінтити й привласнити 58 млн токенів CVG. Після цього зловмисник продав токени за $210 000.
Такий експлойт виявили в CvxRewardDistributor — одному зі смартконтрактів механізму стейкінгу, який відповідає за мінтинг CVG і розподіл винагород. Через програмну помилку цей контракт не проводив необхідної валідації даних від користувачів, тому хакер зміг завантажити власний код, запустити мінтинг і привласнити всі випущені токени.
За словами розробників Convergence, проблемний смартконтракт було змінено після аудиту з безпеки. У спробі оптимізувати код і зменшити витрати газу на його обробку вони випадково видалили рядок, який відповідав за валідацію даних.
Наразі експлойт вже усунуто, але механізм винагород для стейкерів поки не працює. Хоча кошти користувачів не постраждали, розробники порекомендували про всяк випадок вивести активи зі стейкінгу.