Sektor decentralizovaných financií (DeFi) je majákom inovácií a finančnej inklúzie a ponúka množstvo služieb od poskytovania úverov a pôžičiek až po komplexné finančné nástroje. S veľkými inováciami však prichádza aj veľká zodpovednosť a nedávny hack protokolu Convergence DeFi slúži ako jasná pripomienka krehkosti týchto vznikajúcich systémov.
Dňa 1. augusta 2024 sa spoločnosť Convergence stala obeťou sofistikovaného hackera, ktorý zneužil zraniteľnosť v kóde jej inteligentného kontraktu, čo viedlo k strate natívneho tokenu v hodnote 210 000 USD a ďalších 2 000 USD v nevyzdvihnutých odmenách za stávkovanie. Tento incident vyvolal vlny v komunite DeFi a podnietil dôkladné vyšetrovanie a následnú posmrtnú správu s cieľom pochopiť, čo sa stalo zle a ako sa dá podobným udalostiam v budúcnosti predísť.
Mechanizmus zneužitia
Podstatou exploitu bola nedostatočná validácia vstupov vo funkcii „claimMultipleStaking“ v rámci zmluvy o distribúcii odmien. Toto nedopatrenie umožnilo hackerovi vykonať škodlivú zmluvu bez potrebnej validácie zmluvy o stávkovaní, čo mu umožnilo vyťažiť všetky tokeny vyčlenené na emisie stakingu.
Úpravy po audite: Achillova päta
V postmortem správe spoločnosti Convergence Finance sa zdôraznilo, že protokol prešiel štyrmi samostatnými auditmi rôznych firiem, ktoré mali teoreticky zabezpečiť vysokú úroveň bezpečnosti. Pri následnej úprave kódu určenej na optimalizáciu plynu sa však neúmyselne odstránil kľúčový riadok, ktorý kontroloval vstup zadaný do funkcie. Táto zmena otvorila dvere pre zneužitie, pretože umožnila hackerovi obísť bezpečnostné opatrenia, ktoré mali byť zavedené.
Následky a dôsledky pre priemysel
Po hackerskom útoku boli ukradnuté tokeny rýchlo prevedené na 60 WETH a 15,9 tisíc crvFRAX a vyhodené do bazénov likvidity, čo spôsobilo výrazný pokles ceny tokenu CVG. Spoločnosť Convergence Finance prevzala plnú zodpovednosť za incident a vyzvala používateľov, aby si preventívne stiahli svoje vsadené aktíva. Ubezpečili tiež, že sa pracuje na oprave a že žiadna stakujúca odmenu nestratí.
Tento incident nie je ojedinelý; v priestore DeFi došlo k sérii hackerských útokov, pričom len v júli 2024 bolo zaznamenaných 16 incidentov, ktoré viedli k stratám vo výške viac ako 266 miliónov dolárov. Tieto udalosti zdôrazňujú dôležitosť dôsledných bezpečnostných postupov vrátane dôkladných auditov a opatrných úprav kódu po audite.
Posun vpred: Získané poznatky
Hackerský útok v rámci projektu Convergence slúži ako kritická príležitosť na poučenie pre sektor DeFi. Protokoly musia uprednostniť bezpečnosť pred efektívnosťou a zabezpečiť, aby akékoľvek optimalizácie kódu neohrozili integritu systému. Okrem toho musí komunita podporovať kultúru transparentnosti a rýchlej reakcie, aby si zachovala dôveru a odolnosť voči takýmto výzvam.
Keďže sa prostredie DeFi naďalej vyvíja, je nevyhnutné, aby sa protokoly poučili z týchto incidentov, aby posilnili svoju obranu a ochránili aktíva používateľov. Hackerský útok na systém Convergence je varovným príbehom, ktorý posilňuje potrebu ostražitosti, spoľahlivých bezpečnostných protokolov a aktívneho prístupu k ochrane ekosystému DeFi.
Zdroj. cryptiopolitan
Príspevok Analýza hacknutia protokolu Convergence DeFi je zobrazený ako prvý na Kryptoblog24.