OpenZeppelin разкри, че наскоро разкри сериозна уязвимост в кода на протокола Convex Finance (CVX) DeFi, която би довела до изтегляне на килими за 15 милиарда долара, ако бъде използвана. Оттогава вратичката е закърпена от екипа за разработка на Convex, според публикация в блога на екипа от 4 април 2022 г.
Convex Finance Rugpull атака е осуетена
OpenZeppelin, фирма за сигурност на блокчейн, която твърди, че е стандартът за сигурни блокчейн приложения, предоставящ решения за изграждане, автоматизиране и управление на децентрализирани приложения и много други, разкри, че наскоро поправи грешка в Convex Finance, която можеше да доведе до изтегляне на килими за 15 милиарда долара .
За тези, които не са наясно, атака за издърпване на килими се случва, когато създател на проект за децентрализирано финансиране внезапно прехвърля или открадва всички средства в ликвидните пулове на платформата и изоставя проекта в ущърб на инвеститорите.
Според публикация в блог от екипа на OpenZeppelin, уязвимостта в интелигентните договори Convex Finance е открита по време на упражнение за одит на сигурността за обмен на криптовалута Coinbase през декември 2021 г.
Convex Finance е DeFi платформа, която увеличава наградите за участниците в Curve (CRV) и доставчиците на ликвидност. Стартирано от анонимен разработчик през май 2021 г., Convex Finance се превърна в забележителен проект в екосистемата на Curve, с обща заключена стойност от 15 милиарда долара (TVL) по това време.
Тъй като Convex Finance държи по-голямата част от стейблкойните CRV на Curve Finance в обращение, издърпването на килим би имало опустошителен ефект върху членовете на двете екосистеми.
OpenZeppelin написа:
„Като част от одита екипът за изследване на сигурността разкри уязвимост, която, ако бъде използвана от двама от трима анонимни подписващи портфейла с множество подписи (multisig), би дала на Convex multisig директен контрол върху заключената стойност на Convex – тогава приблизително 15 милиарда долара. Изпъкналата документация изрично посочва, че такъв контрол не е възможен.
Дилемата
Въпреки че екипът даде да се разбере, че грешката оттогава е отстранена, той обаче отбелязва, че фактът, че уязвимостта може да бъде експлоатирана или коригирана само от анонимните разработчици, отговорни за протокола, направи процеса на разкриване хекулесова задача.
„Динамиката на свързване с анонимни екипи по въпроси може да бъде сложна. В много случаи уязвимостта в софтуера с отворен код може да бъде използвана от всеки, който я намери. В този конкретен случай обаче уязвимостта може да бъде използвана (или закърпена) само от анонимни разработчици на Convex,” разкри OpenZeppelin.
Екипът казва, че е претеглял няколко опции за това как да разкрие грешката в сигурността на Convex, въпреки че е вярвал, че вратичката в сигурността не е създадена умишлено, тъй като анонимният статус на екипа на разработчиците може да им позволи лесно да се разминат с атака за изтегляне на килим ако решат да играят мръсно.
OpenZeppelin казва, че е решил да добави фирма за бъгове, Immunefi към снимката, която да функционира като посредник между нея и Convex.
В крайна сметка и двете страни се съгласиха, че:
„Най-добрият начин за действие за тази дилема беше да се включат допълнителни публично известни страни към мултиподписа, което прави невъзможно изтеглянето на килима. В този момент екипът за изследване на сигурността започна открита комуникация с Convex, предоставяйки пълни подробности за уязвимостта и метод за тестване. Малко след това Convex поправи уязвимостта“, заяви екипът.
По време на пресата Convex Finance (CVX) има TVL от 14.41 милиарда долара, според Defi Llama, докато цената на нейния собствен токен CVX е около 36.57 долара, както се вижда на CoinMarketCap.
Източник: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/