OpenZeppelin har avslørt at den nylig avdekket en alvorlig sårbarhet i Convex Finance (CVX) DeFi-protokollkoden som ville ha ført til en teppetrekk på 15 milliarder dollar hvis den ble utnyttet. Smutthullet har siden blitt lappet av Convex-utviklingsteamet, ifølge et blogginnlegg fra 4. april 2022 av teamet.
Convex Finance Rugpull Attack Foliert
OpenZeppelin, et blokkjede-sikkerhetsfirma som hevder å være standarden for sikre blokkjedeapplikasjoner, som tilbyr løsninger for å bygge, automatisere og drifte desentraliserte applikasjoner og mer, har avslørt at det nylig lappet en Convex Finance-feil som kunne ha ført til et teppetrekk på 15 milliarder dollar .
For de som ikke er klar over det, skjer et rugtrekk-angrep når en desentralisert finansprosjektskaper plutselig overfører eller stjeler hele midlene i plattformens likviditetspooler og forlater prosjektet, til skade for investorer.
Ifølge et blogginnlegg av OpenZeppelin-teamet ble sårbarheten i Convex Finance smarte kontrakter oppdaget under en sikkerhetsrevisjonsøvelse for Coinbase kryptoutveksling i desember 2021.
Convex Finance er en DeFi-plattform som øker belønningene for Curve (CRV) stakers og likviditetsleverandører. Lansert av en anonym utvikler i mai 2021, har Convex Finance vokst til å bli et bemerkelsesverdig prosjekt i Curve-økosystemet, med $15 milliarder i totalverdi låst (TVL) på den tiden.
Siden Convex Finance har flertallet av Curve Finances CRV-stablecoins i omløp, ville et teppetrekk ha hatt en ødeleggende effekt på medlemmene av begge økosystemene.
OpenZeppelin skrev:
«Som en del av tilsynet avdekket sikkerhetsforskningsteamet en sårbarhet som, hvis den ble utnyttet av to av tre anonyme multisignatur-lommebok (multisig)-signere, ville gitt Convex multisig direkte kontroll over Convex sin låste verdi – da omtrent 15 milliarder dollar. Konveks dokumentasjon sa spesifikt at slik kontroll ikke var mulig."
The Dilemma
Selv om teamet har gjort det klart at feilen siden har blitt fikset, bemerker det imidlertid at det faktum at sårbarheten bare kunne utnyttes eller lappes av de anonyme utviklerne som er ansvarlige for protokollen, gjorde avsløringsprosessen til en herkulær oppgave.
«Dynamikken ved å kontakte anonyme team om problemer kan være kompleks. I mange tilfeller kan en sårbarhet i åpen kildekode-programvare utnyttes av alle som finner den. I dette spesifikke tilfellet kan imidlertid sårbarheten bare utnyttes (eller lappes) av Convex sine anonyme utviklere,» avslørte OpenZeppelin.
Teamet sier at det veide flere alternativer for hvordan de skulle avsløre sikkerhetsfeilen til Convex, selv om de trodde at sikkerhetshullet ikke ble opprettet med vilje, ettersom den anonyme statusen til utviklerteamet lett kunne la dem slippe unna med et teppeangrep. hvis de bestemte seg for å spille skitten.
OpenZeppelin sier at de bestemte seg for å legge til et bug-bounty-firma, Immunefi, til bildet, for å fungere som et mellomledd mellom det og Convex.
Til slutt ble begge parter enige om at:
"Den beste handlingen til dette dilemmaet var å innlemme flere offentlig kjente parter til multisig, noe som gjorde et teppetrekk umulig. På dette tidspunktet startet sikkerhetsforskningsteamet åpen kommunikasjon med Convex, og ga fullstendige sårbarhetsdetaljer og en testmetode. Kort tid etter lappet Convex sårbarheten», uttalte teamet.
På pressetidspunktet har Convex Finance (CVX) en TVL på 14.41 milliarder dollar, ifølge Defi Llama, mens prisen på det opprinnelige CVX-tokenet er rundt 36.57 dollar, som sett på CoinMarketCap.
Kilde: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/