Hack do Protocolo DeFi resulta em perda de $212K devido a vulnerabilidade do contrato inteligente

[TL; DR]

Em 1 de agosto, o protocolo de finanças descentralizadas Convergence sofreu uma violação de segurança devido a uma vulnerabilidade no contrato inteligente.

Um hacker ou uma equipe de hackers conseguiu explorar a falha, cunhando e vendendo $210,000 do seu token nativo, e também roubando $2,000 em recompensas de staking não reclamadas.

Wireshark, o fundador pseudônimo da Convergence, forneceu um relatório detalhado pós-mortem revelando que o hacker mirou o contrato CvxRewardDistributor do protocolo.

Isso permitiu que o hacker cunhasse e vendesse 58 milhões de tokens CVG, obtendo aproximadamente $210,000.

Leia também: Perspetivas do Ecossistema DeFi em 2024: Tendências-chave e Direções

Além disso, o hacker roubou cerca de $2.000 em recompensas não reclamadas da Convex, um protocolo DeFi destinado a otimizar recompensas. para Curve provedores de liquidez. Os dados da Etherscan indicam que o ataque ocorreu por volta das 3:00 da manhã UTC em 1 de agosto.

A PeckShield, uma empresa de segurança blockchain, observou que após a criação das tokens CVG, o hacker rapidamente as converteu em 60 Ether embrulhados e 15.900 Curve.fi FRAX. Como resultado destas ações, o token de governança CVG sofreu um colapso de preço de quase 100%, agora a ser negociado a $0.0004 com uma capitalização de mercado de apenas $57,000, de acordo com a CoinMarketCap.

Detalhes do Incidente

A Convergence divulgou que a violação ocorreu porque a equipe removeu inadvertidamente uma linha crucial de código em seu contrato inteligente responsável por distribuir recompensas de staking CVG. Esta mudança foi feita depois que o contrato inteligente foi auditado quatro vezes. “A modificação, destinada a uma otimização de gás, nos levou a remover a linha de código que verificava a entrada fornecida à função,” explicou a equipe.

O hacker explorou o contrato CvxRewardDistributor através da função claimMultipleStaking, contornando a validação. Isso permitiu ao hacker usar um contrato malicioso separado com a mesma assinatura da função claimCvgCvxMultiple. Consequentemente, o hacker cunhou todos os tokens alocados para emissões de staking e os vendeu nos pools de liquidez CVG, relatou a Convergence.

Embora a Convergence tenha garantido que os fundos dos usuários permanecem seguros, ela recomendou que os usuários retirem seus ativos da plataforma. ‘Devido à exploração, o contrato de recompensas para a integração da Stake DAO está atualmente não funcional. Será reparado e os apostadores poderão reivindicar suas recompensas assim que for corrigido. Nenhuma recompensa foi perdida para os usuários da integração da Stake DAO’, afirmou a Convergence.

A Convergence tem como objetivo agregar liquidez, aumentar retornos e permitir o bloqueio líquido dentro do ecossistema Curve Finance. Após o ataque, o valor total bloqueado na Convergence caiu de $5.79 milhões para $3.69 milhões, de acordo com dados da DefiLlama. Em julho, o ecossistema de criptomoedas viu aproximadamente $266 milhões perdidos em ataques, principalmente devido à violação de $230 milhões da plataforma de negociação indiana WazirX em 18 de julho.

Protocolo de convergência explicado

O Protocolo de Convergência é uma plataforma de financiamento descentralizado (DeFi) projetada para melhorar a liquidez e as oportunidades de rendimento dentro do ecossistema Curve Finance. Seu objetivo principal é agregar liquidez de várias fontes, otimizar retornos para os usuários e facilitar o staking líquido, permitindo que os participantes bloqueiem seus ativos mantendo a liquidez.

O protocolo alcança isso integrando vários serviços e produtos DeFi, criando uma experiência perfeita para os utilizadores que procuram maximizar os seus retornos em ativos staked. Fornecendo uma plataforma onde os utilizadores podem stakar os seus tokens e ganhar recompensas, participar em pools de liquidez e envolver-se em estratégias de yield farming. Desta forma, a Convergence ajuda os utilizadores a tirar o máximo partido dos seus ativos digitais sem a necessidade de intervenção manual constante e monitorização.

Notícias recentes: Reserva de $168 milhões do Fundador da Curve enfrenta stress

Uma das principais características da Convergence é o seu foco na otimização de gás e no design eficiente de contratos inteligentes. Isso garante que as transações na plataforma sejam econômicas e rápidas, minimizando os custos gerais associados às operações de blockchain. Além disso, a Convergence utiliza um robusto framework de segurança para proteger os fundos dos usuários e manter a integridade da plataforma.

Através da sua abordagem à DeFi, a Convergence pretende abrir o acesso a ferramentas e oportunidades financeiras avançadas, capacitando os utilizadores a participar na economia descentralizada com facilidade e confiança. A sua integração com o ecossistema da Curve Finance aumenta ainda mais o seu apelo.

Leia também: 8 protocolos DeFi com potencial - airdrops, rendimento, GF

Reação do Mercado Pós-Exploração

A reação do mercado ao hack do protocolo Convergence em 1 de agosto de 2024 foi severa e imediata. O hack levou à criação e venda não autorizada de 58 milhões de tokens CVG, resultando em uma perda de aproximadamente $210.000. Essa exploração fez com que o preço do CVG despencasse 99%, caindo de cerca de $0,12 para meros $0,0004. Essa queda drástica acabou com o valor de mercado totalmente diluído do token, que foi estimado anteriormente em $17 milhões.

Na sequência do hack, a Convergence emitiu uma comunicação urgente aconselhando os utilizadores a evitarem interagir com o protocolo para evitar novos riscos. Os fundos roubados pelo hacker foram rapidamente convertidos em stablecoins embrulhadas em Ether (wETH) e crvFRAX, que foram então canalizadas através do Tornado Cash para obscurecer seu rastro.

A resposta do mercado destacou uma perda significativa de confiança no protocolo, com os investidores retirando rapidamente seus fundos e o sentimento geral se tornando altamente negativo. O incidente destacou a importância crítica de um protocolo robusto. medidas de segurança em protocolos DeFi e o impacto potencial das violações de segurança no valor do token e na confiança do investidor.

Hackers DeFi de 2024

Em 2024, o setor de finanças descentralizadas (DeFi) continuou a enfrentar desafios significativos de segurança, com vários hacks de alto perfil resultando em perdas financeiras substanciais. Um dos incidentes mais notáveis ocorreu com a Prisma Finance, uma plataforma de restaking líquido que sofreu uma perda de US $10 milhões devido a uma exploração de empréstimo relâmpago em março de 2024. O invasor drenou aproximadamente 3.257,7 ETH do protocolo, levando a Prisma Finance a pausar suas operações para uma investigação minuciosa.

Leia também: Um Protocolo DeFi Adaptado à Volatilidade do Mercado

Outra grande violação envolveu a BitForex, uma bolsa de criptomoedas que desapareceu depois de retirar quase $57 milhões de suas carteiras quentes em fevereiro de 2024. Esse incidente deixou os usuários incapazes de acessar suas contas e destacou os desafios regulatórios contínuos em Hong Kong, onde a BitForex estava registrada.

Além disso, a PlayDapp, uma plataforma de jogos criptográficos e NFT, sofreu ataques em fevereiro que levaram à emissão não autorizada de 1,79 bilhão de tokens PLA, avaliados em mais de $290 milhões. O hacker começou a lavar o dinheiro após o ataque, demonstrando as complexidades envolvidas no rastreamento e recuperação de ativos roubados no espaço DeFi.

O mês de maio de 2024 também registrou um número significativo de hacks, totalizando mais de $600 milhões em perdas. Entre eles, uma comprometimento da chave privada resultou em uma perda de $70 milhões para uma baleia criptográfica, embora os fundos roubados tenham sido posteriormente devolvidos pelo atacante. Além disso, GNUS, a Fantom O projeto baseado sofreu um hack de 1,27 milhões de dólares devido a uma vulnerabilidade que permitia a criação de tokens GNUS falsos.