CvxRewardDistributor 事后分析 | 2024年8月1日

事后分析 | 2024年8月1日

今天，CvxRewardDistributor 合约中的一个漏洞被利用了。

• 黑客铸造并出售了 5800 万 CVG，获利约 21 万美元（这部分代币原本用于质押奖励）；
• 此外，黑客还盗取了 Convex 上约 2000 美元的未领取奖励。

背景

CvxRewardDistributor 合约（0x2b083beaaC310CC5E190B1d2507038CcB03E7606）：

• 向符合条件的质押者铸造 CVG 奖励；
• 持有从 Convex 领取的奖励，并允许质押者领取这些奖励。

漏洞利用

• 奖励分配合约的 claimMultipleStaking 函数中对用户输入的验证缺失是此次漏洞的根本原因。

claimContracts 结构体包含一个字段，表示要调用的质押合约的地址。

随后会在质押合约上进行调用并返回：

• 要铸造给用户的 CVG 数量；
• 要转移给用户的 Convex 奖励数量。

由于没有对质押合约进行验证，黑客能够传入他部署的恶意合约作为参数，该合约中包含一个与 claimCvgCvxMultiple 相同签名的函数，从而使他能够铸造所有原本用于质押奖励的代币（58,000,000 CVG）。之后，他将所有新铸造的 CVG 倾销至流动性池中。

漏洞利用的交易：https://etherscan.io/tx/0x636be30e58acce0629b2bf975b5c3133840cd7d41ffc3b903720c528f01c65d9

为什么会发生这种情况？

安全一直是我们的关注重点，Convergence Finance 已由不同公司进行了 4 次审计。

然而，我们在审计后修改了这部分代码。这一修改（主要是为了优化 gas）导致我们删除了用于检查函数输入的那行代码。

我们向社区和投资者致歉，并对此事件负全责。

建议

所有用户的资金都是安全的。不过，我们建议你从平台上提取质押的资产。

由于漏洞，Stake DAO 集成的奖励合约目前无法正常工作。我们将会修复它，修复后质押者将能够领取他们的奖励。Stake DAO 集成用户的奖励不会有任何损失。

我们将很快就该协议的未来可能性进行沟通。

感谢你的理解。

• 原文链接： medium.com/@cvg_wireshar...