OpenZeppelin a dezvăluit că a descoperit recent o vulnerabilitate gravă în codul protocolului Convex Finance (CVX) DeFi, care ar fi condus la o atracție de 15 miliarde de dolari dacă ar fi fost exploatată. De atunci, lacuna a fost remediată de echipa de dezvoltare Convex, conform unei postări pe blog din 4 aprilie 2022 a echipei.
Convex Finance Rugpull Attack Dejucat
OpenZeppelin, o firmă de securitate blockchain care pretinde a fi standardul pentru aplicațiile blockchain securizate, oferind soluții pentru a construi, automatiza și opera aplicații descentralizate și multe altele, a dezvăluit că a corectat recent o eroare Convex Finance care ar fi putut duce la un covor de 15 miliarde de dolari. .
Pentru cei care nu sunt conștienți, un atac de tracțiune se întâmplă atunci când un creator de proiecte de finanțare descentralizată transferă sau fură brusc toate fondurile din fondurile de lichiditate ale platformei și abandonează proiectul, în detrimentul investitorilor.
Potrivit unei postări pe blog a echipei OpenZeppelin, vulnerabilitatea în contractele inteligente Convex Finance a fost descoperită în timpul unui exercițiu de audit de securitate pentru schimbul de criptomonede Coinbase în decembrie 2021.
Convex Finance este o platformă DeFi care sporește recompensele pentru participanții Curve (CRV) și furnizorii de lichidități. Lansat de un dezvoltator anonim în mai 2021, Convex Finance a devenit un proiect notabil în ecosistemul Curve, cu 15 miliarde de dolari în valoare totală blocată (TVL) la acea vreme.
Deoarece Convex Finance deține majoritatea monedelor stabile CRV ale Curve Finance în circulație, o tragere de covor ar fi avut un efect devastator asupra membrilor ambelor ecosisteme.
OpenZeppelin a scris:
„Ca parte a auditului, Echipa de Cercetare a Securității a descoperit o vulnerabilitate care, dacă ar fi fost exploatată de doi dintre cei trei semnatari anonimi de portofel cu semnături multiple (multisig), ar fi dat Convex multisig control direct asupra valorii blocate a lui Convex – atunci aproximativ 15 miliarde de dolari. Documentația convexă a declarat în mod specific că un astfel de control nu a fost posibil.”
Dilema
Deși echipa a precizat clar că bug-ul a fost remediat de atunci, ea notează totuși că faptul că vulnerabilitatea ar putea fi exploatată sau corectată doar de dezvoltatorii anonimi responsabili de protocol a făcut ca procesul de dezvăluire să fie o sarcină herculeană.
„Dinamica contactării echipelor anonime despre probleme poate fi complexă. În multe cazuri, o vulnerabilitate în software-ul open-source poate fi exploatată de oricine o găsește. În acest caz specific, însă, vulnerabilitatea ar putea fi exploatată (sau corectată) doar de către dezvoltatorii anonimi ai Convex”, a dezvăluit OpenZeppelin.
Echipa spune că a cântărit mai multe opțiuni cu privire la modul de a dezvălui defectul de securitate către Convex, chiar dacă credea că lacuna de securitate nu a fost creată intenționat, deoarece statutul anonim al echipei de dezvoltare i-ar putea lăsa să scape cu ușurință cu un atac de tragere a covorului. dacă s-au hotărât să joace murdar.
OpenZeppelin spune că a decis să adauge în imagine o firmă de recompense pentru erori, Immunefi, pentru a funcționa ca intermediar între aceasta și Convex.
În cele din urmă, ambele părți au convenit că:
„Cea mai bună cale de acțiune pentru această dilemă a fost să includă părți suplimentare cunoscute public la firma multiplă, făcând imposibilă tragerea de covor. În acest moment, Echipa de Cercetare a Securității a început o comunicare deschisă cu Convex, oferind detalii complete despre vulnerabilitate și o metodă de testare. La scurt timp după aceea, Convex a corectat vulnerabilitatea”, a declarat echipa.
La momentul scrierii, Convex Finance (CVX) are un TVL de 14.41 miliarde de dolari, potrivit Defi Llama, în timp ce prețul jetonului său nativ CVX se află în jurul valorii de 36.57 dolari, așa cum s-a văzut pe CoinMarketCap.
Sursa: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/