Giao thức DeFi Convergence bị tấn công ngay ngày đầu tháng 8, làm thất thoát khoảng 210.000 USD. Nhưng dự án tuyên bố tiền của người dùng vẫn an toàn.
Giao thức DeFi Convergence bị hack, giá token CVG giảm 99%
Tháng mới lại thêm một vụ hack mới. Ngay ngày đầu tiên của tháng 8, giao thức DeFi Convergence phát hiện bị tấn công làm thất thoát khoảng 210.000 USD.
— PeckShield Inc. (@peckshield) August 1, 2024It seems @Convergence_fi was just exploited (w/ ~$210k loss) to mint 58m $CVG (58,718,395.05681812), which are swapped to 60 WETH and 15.9k crvFRAX.
The bug is part of the CvxRewardDistributor contract, which does not validate the (untrusted) user input to claim rewards.
Cụ thể theo đơn vị bảo mật PeckShield, kẻ tấn công đã mint ra 58 triệu token CVG, sau đó swap thành 60 WETH và 15.900 stablecoin crvFRAX thông qua các pool thanh khoản trên Curve.
Bị xả lượng lớn quá đột ngột, giá CVG trong pool thanh khoản trên Curve giảm đến 99%, lao dốc xuống còn 0,0004 USD từ mức giá 0,12 USD trước khi bị tấn công.
Lý do dẫn đến cuộc tấn công là vì một lỗ hổng trong hợp đồng CvxRewardDistributor của giao thức, thiếu xác thực input phù hợp vì vậy để lộ sơ hở để hacker lợi dụng.
Theo truy vết on-chain, bọn tấn công đã swap WETH, crvFRAX sang ETH và cuối cùng gửi đến máy trộn Tornado Cash để xóa dấu vết.
Convergence phát cảnh báo người dùng đừng nên tương tác với giao thức trong khoảng thời gian này.
— Convergence (@Convergence_fi) August 1, 2024🚨 URGENT COMMUNICATION 🚨
Convergence has been hacked. Please don't interact with the protocol.
Trong bài đăng trên Medium sau đó, dự án tuyên bố tiền của người dùng đều an toàn, nhưng gợi ý người dùng nên rút các khoản stake khỏi giao thức. Họ cho biết đang làm việc với các bên liên quan để giải quyết vụ việc.
— Convergence (@Convergence_fi) August 2, 2024🚨 IMPORTANT 🚨
The article below explains the cause of the exploit that happened a few hours ago on Convergence.
We will soon communicate about the options we have to move forward.https://t.co/qkaiF8V4kG
Convergence là giao thức yield farming trên Curve, đã nhận được khoản đầu tư 2 triệu USD từ các quỹ VC như Hashed, CMS Holdings, Morningstar Ventures, NGC Ventures,...
Nhìn chung, phạm vị và giá trị của vụ hack không quá lớn, vì vậy không làm cộng đồng chú ý quá nhiều. Tương tự có blockchain Terra bị tấn công, thiệt hại ước tính 3 triệu USD ngay trước đó 1 ngày. Dù là cái tên đình đám một thời, nhưng cộng đồng cho rằng Terra đã "chẳng còn giá trị gì" nên việc bị hack cũng dần chìm vào quên lãng.
Nếu nói vụ hack nào gây xôn xao dư luận nhất thời điểm hiện tại thì chính là sàn giao dịch Ấn Độ WazirX với hơn 230 triệu USD. Cách xử lý sau đó của đội ngũ sàn càng làm người dùng phẫn nộ, vì "khảo sát nguyện vọng người dùng" nhưng lại không công bằng và không quan tâm đến lợi ích của khách hàng.