Le piratage du protocole DeFi entraîne une perte de 212 000 $ en raison d’une vulnérabilité de contrat intelligent

[TL; DR]

Le 1er août, le protocole de finance décentralisée Convergence a subi une violation de sécurité en raison d’une vulnérabilité du contrat intelligent.

Un pirate ou une équipe de pirates a réussi à exploiter la faille, en frappant et en vendant pour 210 000 $ de son jeton natif, et en volant également 2 000 $ en récompenses de jalonnement non réclamées.

Wireshark, le fondateur pseudonyme de Convergence, a fourni un rapport post-mortem détaillé révélant que le pirate informatique a ciblé le contrat CvxRewardDistributor du protocole.

Cela a permis au pirate informatique de créer et de vendre 58 millions de jetons CVG, ce qui a rapporté environ 210 000 dollars.

De plus, le pirate a volé environ 2 000 $ de récompenses non réclamées à Convex, un protocole DeFi visant à optimiser les récompenses. pour Curve fournisseurs de liquidités. Les données d’Etherscan indiquent que l’attaque a eu lieu vers 3h00 UTC le 1er août.

PeckShield, une entreprise de sécurité blockchain, a observé qu’après avoir émis les jetons CVG, le pirate les a rapidement convertis en 60 Ether enveloppés et 15 900 Curve.fi FRAX. En conséquence de ces actions, le jeton de gouvernance CVG a connu un effondrement de près de 100 % de son prix, se négociant maintenant à 0,0004 $ avec une capitalisation boursière de seulement 57 000 $, selon CoinMarketCap.

Détails de l’incident

Convergence a révélé que la violation s’est produite parce que l’équipe a involontairement supprimé une ligne de code cruciale dans son contrat intelligent responsable de la distribution des récompenses de mise en jeu CVG. Cette modification a été faite après que le contrat intelligent ait été audité quatre fois. “La modification, destinée à une optimisation du gaz, nous a conduit à supprimer la ligne de code qui vérifiait l’entrée fournie à la fonction”, a expliqué l’équipe.

Le pirate a exploité le contrat CvxRewardDistributor via la fonction claimMultipleStaking, contournant la validation. Cela a permis au pirate d’utiliser un contrat malveillant distinct avec la même signature que la fonction claimCvgCvxMultiple. Par conséquent, le pirate a créé toutes les jetons alloués aux émissions de mise en jeu et les a vendus dans les pools de liquidité CVG, a rapporté Convergence.

Bien que Convergence assure que les fonds des utilisateurs restent sécurisés, il recommande aux utilisateurs de retirer leurs actifs de la plateforme. « En raison de l’exploitation, le contrat de récompenses pour l’intégration de Stake DAO est actuellement non fonctionnel. Il sera réparé et les détenteurs pourront réclamer leurs récompenses une fois qu’il sera corrigé. Aucune récompense n’a été perdue pour les utilisateurs de l’intégration de Stake DAO », a déclaré Convergence.

Convergence vise à agréger la liquidité, à améliorer les rendements et à permettre le verrouillage liquide au sein de l’écosystème de la finance de courbe. Suite au piratage, la valeur totale bloquée sur Convergence est passée de 5,79 millions de dollars à 3,69 millions de dollars, selon les données de DefiLlama. En juillet, l’écosystème de la cryptomonnaie a vu environ 266 millions de dollars perdus à cause de piratages, principalement à cause de la violation de 230 millions de dollars de la plateforme de trading indienne WazirX le 18 juillet.

Explication du protocole de convergence

Le protocole de convergence est une plateforme de finance décentralisée (DeFi) conçue pour améliorer la liquidité et les opportunités de rendement au sein de l’écosystème de Curve Finance. Son objectif principal est d’agréger la liquidité de diverses sources, d’optimiser les rendements pour les utilisateurs et de faciliter le staking liquide, permettant aux participants de verrouiller leurs actifs tout en maintenant la liquidité.

Le protocole y parvient en intégrant divers services et produits DeFi, créant ainsi une expérience fluide pour les utilisateurs souhaitant maximiser leurs rendements sur les actifs mis en jeu. Il fournit une plateforme où les utilisateurs peuvent miser leurs jetons et gagner des récompenses, participer à des pools de liquidité et s’engager dans des stratégies de yield farming. Ce faisant, Convergence aide les utilisateurs à tirer le meilleur parti de leurs actifs numériques sans avoir besoin d’une intervention et d’une surveillance manuelles constantes.

Dernières nouvelles: La réserve de 168 millions de dollars du fondateur de Curve fait face au stress

Une des caractéristiques clés de Convergence est son accent sur l’optimisation du gaz et la conception efficace du contrat intelligent. Cela garantit que les transactions sur la plateforme sont rentables et rapides, minimisant les coûts indirects associés aux opérations de blockchain. De plus, Convergence utilise un solide cadre de sécurité pour protéger les fonds des utilisateurs et maintenir l’intégrité de la plateforme.

À travers son approche de DeFi, Convergence vise à ouvrir l’accès à des outils et des opportunités financières avancés, permettant aux utilisateurs de participer à l’économie décentralisée avec facilité et confiance. Son intégration avec l’écosystème de Curve Finance renforce encore son attrait.

Réaction du marché après l’exploitation postérieure

La réaction du marché au piratage du protocole Convergence le 1er août 2024 a été sévère et immédiate. Le piratage a entraîné la création et la vente non autorisée de 58 millions de jetons CVG, entraînant une perte d’environ 210 000 dollars. Cette exploitation a fait chuter le prix du CVG de 99%, passant d’environ 0,12 $ à seulement 0,0004 $. Cette baisse drastique a effacé la valeur marchande entièrement diluée du jeton, estimée précédemment à 17 millions de dollars.

À la suite du piratage, Convergence a publié une communication urgente conseillant aux utilisateurs d’éviter d’interagir avec le protocole pour éviter de nouveaux risques. Les fonds volés par le pirate ont été rapidement convertis en Ether enveloppé (wETH) et en stablecoins crvFRAX, qui ont ensuite été acheminés à travers Tornado Cash pour obscurcir leur trace.

La réaction du marché a mis en évidence une perte de confiance significative dans le protocole, les investisseurs retirant rapidement leurs fonds et le sentiment général devenant très négatif. L’incident a mis en évidence l’importance cruciale d’une mesures de sécurité dans les protocoles DeFi et l’impact potentiel des violations de sécurité sur la valeur des jetons et la confiance des investisseurs.

Piratages DeFi de 2024

En 2024, le secteur de la finance décentralisée (DeFi) continue de faire face à d’importants défis en matière de sécurité, avec plusieurs piratages de haut niveau entraînant des pertes financières considérables. L’un des incidents les plus remarquables s’est produit avec Prisma Finance, une plateforme de liquidité restaking qui a subi une perte de 10 millions de dollars en raison d’une exploitation de prêt flash en mars 2024. L’attaquant a vidé environ 3 257,7 ETH du protocole, incitant Prisma Finance à suspendre ses activités pour une enquête approfondie.

Une autre violation majeure a impliqué BitForex, une bourse de cryptomonnaie qui a disparu après avoir retiré près de 57 millions de dollars de ses portefeuilles chauds en février 2024. Cet incident a laissé les utilisateurs incapables d’accéder à leurs comptes et a mis en évidence les défis réglementaires en cours à Hong Kong, où BitForex était enregistré.

De plus, PlayDapp, une plateforme de jeux cryptographiques et de NFT, a subi des exploits en février qui ont conduit à la frappe non autorisée de 1,79 milliard de jetons PLA, d’une valeur de plus de 290 millions de dollars. Le pirate a commencé à blanchir l’argent après l’exploit, démontrant les complexités impliquées dans le suivi et la récupération des actifs volés dans l’espace DeFi.

Le mois de mai 2024 a également été marqué par un nombre important de piratages, totalisant plus de 600 millions de dollars de pertes. Parmi ceux-ci, une compromission de clé privée a entraîné une perte de 70 millions de dollars pour une baleine crypto, bien que les fonds volés aient été ultérieurement restitués par l’attaquant. De plus, GNUS, un Fantom Projet basé, a subi un piratage de 1,27 million de dollars en raison d’une vulnérabilité qui a permis la création de faux jetons GNUS.

Auteur :Andrei, Chercheur Gate.io

Cet article ne représente que les opinions du chercheur et ne constitue pas des suggestions d'investissement.

Gate.io se réserve tous les droits sur cet article. Le repostage de l'article sera autorisé à condition que Gate.io soit référencé. Dans tous les cas, des mesures légales seront prises en cas d'infraction au droit d'auteur.