Le domaine du financement décentralisé (DeFi) connaît une nouvelle alerte de sécurité majeure. Selon les résultats de surveillance de l'équipe de sécurité renommée PeckShield, le protocole DeFi Convergence a été victime d'une action d'attaque significative, entraînant la perte d'environ 210 000 dollars d'actifs. Les attaquants ont réussi à créer environ 58 millions de CVG (le token de propriété de Convergence), qu'ils ont ensuite échangés pour 60 WETH (Wrapped Ether) et 15 900 crvFRAX. Ces opérations démontrent non seulement une analyse approfondie du système de Convergence, mais aussi une maîtrise avancée des techniques d'exploitation des vulnérabilités dans les protocoles DeFi. La position précise de la vulnérabilité se trouve dans le contrat CvxRewardDistributor, qui est responsable de l'allocation des récompenses aux contributeurs. Cependant, le contrat n'a pas mis en œuvre de mécanisme de validation nécessaire pour la saisie de l'utilisateur, permettant aux utilisateurs non fiables d'accéder directement aux récompenses. Cette négligence a permis aux attaquants d'exécuter des opérations de création et d'échange de tokens massives de manière facile. Cette situation rappelle une fois de plus l'importance des mesures de sécurité pour tous les acteurs du domaine DeFi, même dans un environnement décentralisé. Pour les développeurs, une compréhension approfondie des mécanismes de fonctionnement des contrats intelligents, une amélioration de la validation de l'entrée utilisateur et une révision régulière de la sécurité sont des moyens efficaces pour prévenir de tels attaques. Pour les utilisateurs, il est nécessaire d'administrer de manière prudente leurs actifs, de comprendre les risques liés au projet, et d'éviter de devenir la cible de ces attaquants.