OpenZeppelin odhalil, že nedávno odhalil závažnou zranitelnost v kódu protokolu Convex Finance (CVX) DeFi, která by v případě zneužití vedla k 15 miliardám dolarů. Podle blogového příspěvku ze 4. dubna 2022 byla tato mezera od té doby opravena vývojovým týmem Convex.
Convex Finance Rugpull Attack Foiled
OpenZeppelin, blockchainová bezpečnostní firma, která tvrdí, že je standardem pro bezpečné blockchainové aplikace a poskytuje řešení pro vytváření, automatizaci a provoz decentralizovaných aplikací a další, odhalila, že nedávno opravila chybu Convex Finance, která mohla vést k 15 miliardám dolarů. .
Pro ty, kteří si to neuvědomují, dojde k útoku, kdy tvůrce decentralizovaného finančního projektu náhle převede nebo ukradne veškeré prostředky v likviditních fondech platformy a opustí projekt ke škodě investorů.
Podle blogového příspěvku týmu OpenZeppelin byla zranitelnost v inteligentních kontraktech Convex Finance objevena během bezpečnostního auditu pro kryptoburzu Coinbase v prosinci 2021.
Convex Finance je platforma DeFi, která zvyšuje odměny pro stakery Curve (CRV) a poskytovatele likvidity. Convex Finance, který byl spuštěn anonymním vývojářem v květnu 2021, se rozrostl a stal se významným projektem v ekosystému Curve, s celkovou uzamčenou hodnotou (TVL) 15 miliard dolarů.
Vzhledem k tomu, že společnost Convex Finance drží většinu stabilních coinů CRV společnosti Curve Finance v oběhu, měla by tahání koberců zničující dopad na členy obou ekosystémů.
OpenZeppelin napsal:
„V rámci auditu tým bezpečnostního výzkumu odhalil zranitelnost, která, pokud by ji zneužili dva ze tří anonymních podepisujících peněženek s více podpisy (multisig), dala by Convex multisig přímou kontrolu nad uzamčenou hodnotou Convex – tedy přibližně 15 miliard dolarů. Konvexní dokumentace konkrétně uváděla, že taková kontrola není možná.
Dilema
Přestože tým dal jasně najevo, že chyba byla od té doby opravena, poznamenává, že skutečnost, že zranitelnost mohla být zneužita nebo opravena pouze anonymními vývojáři odpovědnými za protokol, učinila z procesu odhalení herkulovský úkol.
„Dynamika kontaktování anonymních týmů ohledně problémů může být složitá. V mnoha případech může zranitelnost v open-source softwaru zneužít kdokoli, kdo ji najde. V tomto konkrétním případě by však zranitelnost mohla být zneužita (nebo opravena) pouze anonymními vývojáři Convex,“ prozradil OpenZeppelin.
Tým říká, že zvážil několik možností, jak odhalit bezpečnostní chybu společnosti Convex, i když se domníval, že bezpečnostní mezera nebyla vytvořena záměrně, protože anonymní status vývojářského týmu by jim mohl snadno uniknout útokem z koberce. kdyby se rozhodli hrát špinavě.
OpenZeppelin říká, že se rozhodl přidat do obrázku společnost Immunefi pro odměňování chyb, která bude fungovat jako prostředník mezi ní a Convex.
Nakonec se obě strany dohodly, že:
„Nejlepším řešením tohoto dilematu bylo začlenit další veřejně známé strany do multisig, čímž se znemožní vytahování koberců. V tomto okamžiku tým bezpečnostního výzkumu zahájil otevřenou komunikaci se společností Convex a poskytl úplné podrobnosti o zranitelnosti a testovací metodu. Krátce nato společnost Convex tuto zranitelnost opravila,“ uvedl tým.
V době tisku má Convex Finance (CVX) podle Defi Llama TVL 14.41 miliardy $, zatímco cena jeho nativního tokenu CVX se pohybuje kolem 36.57 $, jak je vidět na CoinMarketCap.
Zdroj: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/