分散型金融プロトコルであるConvergenceは、スマートコントラクト内の重要なコード行が削除されたため、21万2,000ドルのハッキングを受けました。この見落としにより、ハッカーがシステムを悪用し、プロトコルのネイティブトークンを大量に鋳造して販売することが可能になりました。
ポイント
- コードの欠落によりConvergenceがハッキングされました。
- ハッカーはCvxRewardDistributorコントラクトを悪用しました。
- ハッキング後のCVGトークンの価格の大幅な下落。
- コンバージェンスの対応とユーザー資金の安全対策。
- 2024年7月に増加する暗号通貨ハッキングのより広範な状況。
分散型金融プロトコルConvergenceは、2024年8月1日にスマートコントラクトのエクスプロイトを通じてハッキングされたことを確認しました。攻撃者は、210,000ドル相当のネイティブCVGトークンを鋳造して販売し、請求されていないステーキング報酬2,000ドルを盗みました。このインシデントは、DeFiプロトコル内の脆弱性と徹底的なコード監査の重要性を浮き彫りにしました。
このエクスプロイトはCvxRewardDistributorコントラクトをターゲットにしており、ハッカーは5,800万個のCVGトークンを鋳造して販売することができました。ブロックチェーンセキュリティ会社のPeckShieldは、攻撃者がこれらのトークンをすぐに60個のラップされたEtherと15,900個のCurve.fiFRAXに変換し、CVGの市場価値をほぼ完全に消し去ったと指摘した。トークンの価格は0.0004ドルまで急落し、時価総額はわずか57,000ドルとなった。
Convergenceは、複数の監査後に実行されたガス最適化の変更中に重要なコード行が誤って削除されたことが攻撃の原因であると考えました。この変更により、入力検証チェックが削除されたため、ハッカーは、claimCvgCvxMultiple関数と同じ署名を持つ悪意のあるコントラクトを渡すことによって、claimMultipleStakeing関数を悪用できるようになりました。
コンバージェンスは監督の全責任を負い、コミュニティに謝罪した。彼らはユーザーに資金が安全であることを保証し、報酬契約が確定するまでプラットフォームから資産を引き出すことを推奨した。Convergenceは、修復が完了したら機能を回復し、利害関係者に当然の報酬を提供することを目的としています。
DefiLlamaのデータによると、Convergenceにロックされた総額は579万ドルから369万ドルに減少した。このハッキングは、暗号通貨の悪用が増加する広範な傾向の一部であり、インドの取引プラットフォームWazirXでの2億3,000万ドルの重大な侵害を含む、7月のハッキングによりエコシステムは約2億6,600万ドルの損失を被った。
解説
- この事件は、スマートコントラクトにおける包括的なコード監査と入力検証の重要性を浮き彫りにしました。
- CVG価値の迅速かつ大幅な下落は、セキュリティ侵害に対する市場の即座の反応を示しています。
- ユーザーの資金を確保し、透明性のあるコミュニケーションを図るためのConvergenceの積極的な対策は、ユーザーの信頼を維持するために不可欠です。
- 2024年に暗号通貨ハッキングが増加するという広範な傾向は、DeFiプラットフォーム全体にわたる堅牢なセキュリティプロトコルの必要性を浮き彫りにしています。
- 脆弱性を理解し、軽減することは、DeFiエコシステムの持続可能性と信頼性にとって重要です。