DeFiプロトコルのハッキングによりスマートコントラクトの脆弱性により21万2千ドルの損失が発生

2024-08-14, 02:52

[//]:content-type-MARKDOWN-DONOT-DELETE
![](https://gimg2.gateimg.com/image/article/17236036501690791857hotspot.jpeg)

8月1日、分散型金融プロトコル「コンバージェンス」はスマートコントラクトの脆弱性によりセキュリティ侵害に遭いました。

ハッカーまたはハッカーのチームがこの欠陥を悪用し、21万ドル相当のネイティブトークンを発行して販売し、さらに未請求のステーキング報酬2,000ドルを盗もうとしました。

Convergence の匿名創設者 Wireshark は、ハッカーがプロトコルの CvxRewardDistributor 契約を標的にしていたことを明らかにする詳細な事後分析レポートを提供しました。

これにより、ハッカーは5,800万のCVGトークンを発行して販売し、およそ21万ドルを獲得することができました。

こちらもお読みください：[DeFiエコシステム2024年の展望： 主な傾向と方向性](https://www.gate.io/learn/articles/defi-ecosystem-2024-preview-key-trends-and-direction-predictions-for-the-industry/1387 "DeFiエコシステム2024年の展望： 主な傾向と方向性")

さらに、ハッカーは報酬の最適化を目的としたDeFiプロトコルであるConvexから約2,000ドルの未請求報酬を盗んだ。[カーブ用](https://www.gate.io/learn/articles/what-is-curve/425 "カーブ用")流動性プロバイダー。Etherscan のデータによると、攻撃は 8 月 1 日の午前 3 時 (UTC) 頃に発生しました。

ブロックチェーンセキュリティ会社PeckShieldは、ハッカーがCVGトークンを鋳造した後、それを60ラップされたイーサと15,900 Curve.fiに変換したことを確認しました。フラックスCoinMarketCapによると、これらの措置の結果、CVGガバナンストークンはほぼ100%の価格暴落を経験し、現在0.0004ドルで取引されており、時価総額はわずか57,000ドルとなっています。

## 事件の詳細
コンバージェンスは、チームがCVGステーキング報酬の分配を担うスマートコントラクトの重要なコード行を誤って削除したために侵害が発生したと発表しました。この変更は、スマートコントラクトが4回監査された後に行われました。「ガスの最適化を目的としたこの変更により、関数に提供された入力をチェックするコード行が削除されました」とチームは説明しました。

ハッカーは、claimMultipleStaking関数を介してCvxRewardDistributorコントラクトを悪用し、検証を回避しました。これにより、ハッカーはclaimCvgCvxMultiple関数と同じ署名を持つ別の悪意のあるコントラクトを使用することができます。その結果、ハッカーはステーキング放出に割り当てられたすべてのトークンを鋳造し、CVG流動性プールでそれらを販売したとConvergenceは報告しました。

コンバージェンスは、ユーザーの資金は安全に保たれていると保証しながらも、ユーザーにプラットフォームから資産を引き出すよう推奨しました。「この脆弱性により、Stake DAO統合の報酬契約は現在機能していません。これは修復され、修復され次第、ステーカーは報酬を請求できるようになります。Stake DAO統合ユーザーの報酬は失われていません」とコンバージェンスは述べました。

コンバージェンスは、流動性を集約し、収益を高め、カーブファイナンスのエコシステム内で流動性をロックすることを目指しています。DefiLlamaのデータによると、ハッキング後、コンバージェンスにロックされた総額は579万ドルから369万ドルに減少しました。7月、暗号通貨エコシステムはハッキングにより約2億6600万ドルの損失を被ったのですが、これは主にインドの取引プラットフォームへの2億3000万ドルの侵入によるものです。[7月18日のWazirX](https://www.gate.io/learn/articles/gate-research-bitcoin-retraces-to-the-63000-support-level-wazirx-suffers-over-230-million-loss-due-to-attack/3567 "7月18日のWazirX")です。

## コンバージェンスプロトコルの説明
コンバージェンス プロトコルは、Curve Finance エコシステム内で流動性と収益機会を高めるために設計された分散型金融 (DeFi) プラットフォームです。主な目的は、さまざまなソースから流動性を集約し、ユーザーの収益を最適化し、流動的なステーキングを促進して、参加者が流動性を維持しながら資産をロックできるようにすることです。

このプロトコルは、さまざまな DeFi サービスと製品を統合することでこれを実現し、ステークされた資産の収益を最大化したいユーザーにとってシームレスなエクスペリエンスを実現します。ユーザーがトークンをステークして報酬を獲得し、流動性プールに参加し、イールドファーミング戦略に従事できるプラットフォームを提供します。これにより、Convergence は、ユーザーが継続的な手動介入と監視を必要とせずにデジタル資産を最大限に活用できるように支援します。

最近のニュース：[カーブ創設者の1億6800万ドルの資産がストレスに直面](https://www.gate.io/blog_detail/3081/curve-founder-168m-stash-faces-stress "カーブ創設者の1億6800万ドルの資産がストレスに直面")

Convergence の主な特徴の 1 つは、ガスの最適化と効率的なスマート コントラクト設計に重点を置いていることです。これにより、プラットフォーム上のトランザクションがコスト効率に優れ、迅速に行われるようになり、ブロックチェーン操作に関連する間接費が最小限に抑えられます。さらに、Convergence は堅牢なセキュリティ フレームワークを採用して、ユーザーの資金を保護し、プラットフォームの整合性を維持します。

Convergence は DeFi へのアプローチを通じて、高度な金融ツールと機会へのアクセスを開放し、ユーザーが簡単に自信を持って分散型経済に参加できるようにすることを目指しています。Curve Finance エコシステムとの統合により、その魅力はさらに高まります。

こちらもお読みください：[潜在能力のある 8 つの DeFi プロトコル - エアドロップ、利回り、GF。](https://www.gate.io/learn/articles/8-defi-protocols-with-potential/3682 "潜在能力のある 8 つの DeFi プロトコル - エアドロップ、利回り、GF。")

## エクスプロイト後の市場の反応
2024年8月1日のコンバージェンスプロトコルハッキングに対する市場の反応は、深刻かつ即時のものでした。このハッキングにより、5,800万のCVGトークンが発行され、無許可で販売され、約21万ドルの損失が発生しました。このエクスプロイトにより、CVGの価格は99％急落し、約0.12ドルからわずか0.0004ドルにまで下がりました。この急激な下落により、以前は1,700万ドルと推定されていたトークンの完全希薄化後の市場価値が一掃されました。

ハッキングを受けて、コンバージェンスはさらなるリスクを防ぐためにプロトコルとのやり取りを避けるようユーザーに勧告する緊急通信を出した。ハッカーが盗んだ資金はすぐにラップされたイーサ（wETH）とcrvFRAXステーブルコインに変換され、その後、その痕跡を隠蔽するためにトルネードキャッシュを通じて送金されました。

市場の反応はプロトコルへの信頼の大幅な喪失を浮き彫りにし、投資家は急速に資金を引き揚げ、全体的な感情は非常にネガティブになった。この事件は、堅牢なプロトコルの重要性を強調した。[DeFiプロトコルのセキュリティ対策](https://www.gate.io/learn/articles/how-defi-protocols-generate-revenue-and-why-its-important/2890 "DeFiプロトコルのセキュリティ対策")セキュリティ侵害がトークンの価値と投資家の信頼に及ぼす潜在的な影響です。

## 2024年のDeFiハック
2024年、分散型金融（DeFi）セクターは引き続き重大なセキュリティ上の課題に直面しており、いくつかの有名なハッキングにより多額の経済的損失が発生しています。最も注目すべき事件の1つは、2024年3月にフラッシュローンの悪用により1,000万ドルの損失を被った流動性再ステーキングプラットフォームであるPrisma Financeで発生しました。攻撃者はプロトコルから約3,257.7 ETHを流出させ、Prisma Financeは徹底的な調査のために業務を一時停止しました。

こちらもお読みください：[市場のボラティリティに合わせたDeFiプロトコル](https://www.gate.io/zh/learn/articles/a-defi-protocol-tailored-for-market-volatility/3618 "市場のボラティリティに合わせたDeFiプロトコル")

もう1つの大きな侵害は、2024年2月にホットウォレットから約5,700万ドルを引き出した後に消滅した暗号通貨取引所BitForexに関するものでした。この事件により、ユーザーはアカウントにアクセスできなくなり、BitForexが登録されている香港で進行中の規制上の課題が浮き彫りになりました。

さらに、暗号ゲームおよびNFTプラットフォームであるPlayDappは2月にエクスプロイトを経験し、2億9000万ドル以上の価値がある17億9000万PLAトークンが不正に鋳造されました。ハッカーはエクスプロイト後に資金のロンダリングを開始し、DeFi分野で盗難資産の追跡と回収に伴う複雑さを示しました。

2024年5月には、ハッキングが多数発生し、損失総額は6億ドルを超えました。このうち、秘密鍵の侵害により、仮想通貨クジラが7000万ドルの損失を被りましたが、盗まれた資金は後に攻撃者によって返還されました。さらに、ファントムベースのプロジェクトであるGNUSは、偽のGNUSトークンの発行を可能にする脆弱性により、127万ドルのハッキング被害を受けました。

<div class="blog-details-info">
<div>著者：Gate.ioの研究者**Andrei**
翻訳者：AkihitoY.
<div class="info-tips">\*この記事は研究者の意見を表すものであり、取引に関するアドバイスを構成するものではありません。
<div>\*本記事の内容はオリジナルであり、著作権はGate.ioに帰属します。転載が必要な場合は、作者と出典を明記してください。そうでない場合は法的責任を負います。
</div>