Protocolo DeFi Convergence experimenta exploit y token CVG cae 99%

Convergence, el protocolo de finanzas descentralizadas (DeFi) basado en Curve, fue víctima de un hackeo que generó pérdidas de $210.000 y desplomó el precio del token nativo.

Contenido:

Alerta de Convergence

Mediante X, Convergence emitió una alerta el día de ayer informando que había sufrido un exploit, por lo que solicitó a sus usuarios no interactuar con el protocolo:

🚨 URGENT COMMUNICATION 🚨

Convergence has been hacked. Please don't interact with the protocol.
— Convergence (@Convergence_fi) August 1, 2024

Minutos después, el ataque fue confirmado por PeckShield, una firma de seguridad blockchain, que también publicó una alerta vinculada al protocolo:

It seems @Convergence_fi was just exploited (w/ ~$210k loss) to mint 58m $CVG (58,718,395.05681812), which are swapped to 60 WETH and 15.9k crvFRAX.

The bug is part of the CvxRewardDistributor contract, which does not validate the (untrusted) user input to claim rewards.

Here… pic.twitter.com/EOS7q4reUC
— PeckShield Inc. (@peckshield) August 1, 2024

Según lo expuesto por la firma, Convergence habría sido víctima de un ataque cibernético que generó $210.000 en pérdidas, además de la acuñación fraudulenta de 58 millones de CVG; el token nativo del protocolo.

Informes en redes

Los reportes de seguimiento señalaron que el hacker de Convergence, después de acuñar CVG, los transformó en 60 WETH y 15.900 crvFRAX, además de enviar los fondos a Tornado Cash, un conocido mixer de criptomonedas mediante el que se imposibilita el rastreo.

Debido a los acontecimientos, CVG registró un desplome en su precio y pasó de cotizarse a $0.11 por token a $0.0004312; lo cual representa una caída del 99% de su valor.

¿Qué ocurrió en el protocolo DeFi?

Wireshark, seudónimo del fundador de Convergence, publicó un informe post-mortem donde explica que el hackeo se originó en el contrato “CvxRewardDistributor” a través de la función “claimMultipleStaking”.

Según lo expuesto, el equipo del protocolo habría eliminado de forma accidental una línea de código en el smart contract, lo cual fue aprovechado por los delincuentes para generar la acuñación fraudulenta de tokens CVG.

También se mencionó que durante la operación el o los hackers lograron sustraer aproximadamente $2.000 en recompensas no reclamadas de Covex, un protocolo DeFi con el que se maximizan las recompensas para los proveedores de liquidez de Curve.

¿Qué sucedió con los fondos de los usuarios?

Respecto a los fondos de los usuarios almacenados en el protocolo, el comunicado de Convergence aseguró que están protegidos y declara:

“Debido al exploit, el contrato de recompensas para la integración de Stake DAO está actualmente roto. Se solucionará, y los stakers podrán reclamar sus recompensas una vez que esté arreglado. No se han perdido recompensas para los usuarios de la integración de Stake DAO”.

Sin embargo, el protocolo recomendó a los clientes retirar los activos que aún mantengan en la plataforma hasta que sean publicadas nuevas actualizaciones.