Hiền Nguyễn Vào khoảng 3 giờ sáng UTC ngày 1/8, vụ tấn công xảy ra khiến giá token CVG của Convergence giảm hơn 99%.
Giao thức tài chính phi tập trung (DeFi) Convergence xác nhận đã bị hack qua lỗ hổng của hợp đồng thông minh vào ngày 1/8, khi hacker phát hành và bán 210 triệu token CVG, đồng thời đánh cắp $2,000 từ phần thưởng staking chưa được yêu cầu.
Theo báo cáo hậu kiểm mới nhất từ Wireshark, người sáng lập ẩn danh của Convergence, hacker đã khai thác lỗ hổng trong hợp đồng CvxRewardDistributor, cho phép chúng phát hành và bán 58 triệu token CVG với giá trị khoảng $210,000.
Hacker cũng đã đánh cắp khoảng $2,000 từ phần thưởng chưa được yêu cầu của Convex, một giao thức DeFi tối ưu hóa phần thưởng cho các nhà cung cấp thanh khoản của Curve.
Dữ liệu từ Etherscan cho thấy vụ tấn công diễn ra vào khoảng 3:00 sáng UTC ngày 1/8.
Công ty an ninh blockchain PeckShield lưu ý rằng sau khi phát hành token CVG, hacker đã nhanh chóng đổi chúng thành 60 wrapped-Ether và 15,900 Curve.fi FRAX.
Những giao dịch này đã khiến giá token quản trị CVG gần như sụt giảm hoàn toàn, hiện chỉ còn giao dịch ở mức $0.0004 với vốn hóa thị trường chỉ còn $57,000, theo dữ liệu từ CoinMarketCap.
Nguyên nhân vụ hack Convergence cho biết vụ tấn công xảy ra do đội ngũ đã vô tình xóa bỏ một dòng mã quan trọng trong hợp đồng thông minh, vốn có nhiệm vụ phân phối phần thưởng staking CVG. Họ đã thực hiện thay đổi này sau khi mã hợp đồng đã được kiểm toán bốn lần.
“Việc sửa đổi (tối ưu hóa gas ban đầu) đã dẫn đến việc loại bỏ dòng mã kiểm tra đầu vào của hàm,” Convergence giải thích.
Hacker đã sử dụng điều này để khai thác hợp đồng CvxRewardDistributor thông qua hàm claimMultipleStaking.
Điều này đồng nghĩa với việc hợp đồng staking không thể được xác thực, cho phép hacker vượt qua một hợp đồng độc hại khác với cùng chữ ký như hàm claimCvgCvxMultiple.
Hacker sau đó đã phát hành tất cả token dành cho phát thải staking và đổ chúng vào các pool thanh khoản CVG, Convergence cho biết.
“Chúng tôi xin lỗi cộng đồng và các nhà đầu tư, và chúng tôi hoàn toàn chịu trách nhiệm về những gì đã xảy ra.”
Convergence khẳng định rằng các quỹ của người dùng vẫn an toàn, nhưng khuyến nghị người dùng rút tài sản khỏi nền tảng.
“Do lỗ hổng này, hợp đồng phần thưởng cho tích hợp Stake DAO hiện đang bị hỏng. Nó sẽ được sửa chữa, và người dùng staking sẽ có thể yêu cầu phần thưởng sau khi hoàn thành. Không có phần thưởng nào bị mất cho người dùng tích hợp Stake DAO,” Convergence cho biết.
“Chúng tôi sẽ sớm thông báo về các khả năng cho tương lai của giao thức.”
Convergence hoạt động để tập hợp thanh khoản, tăng cường lợi nhuận và cho phép khóa thanh khoản trong toàn bộ hệ sinh thái Curve Finance.
Tổng giá trị khóa (TVL) trên Convergence đã giảm từ $5.79 triệu xuống còn $3.69 triệu, theo dữ liệu từ DefiLlama.
Hệ sinh thái tiền mã hóa đã mất khoảng $266 triệu do các vụ hack trong tháng 7, phần lớn đến từ vụ hack trị giá $230 triệu của nền tảng giao dịch Ấn Độ WazirX vào ngày 18/7.