OpenZeppelin je razkril, da je pred kratkim odkril resno ranljivost v kodi protokola Convex Finance (CVX) DeFi, ki bi v primeru izkoriščanja pripeljala do 15 milijard dolarjev vredne preproge. V skladu z objavo skupine z dne 4. aprila 2022 v blogu je vrzel odpravila razvojna ekipa Convex.
Convex Finance Rugpull napad onemogočen
OpenZeppelin, podjetje za varovanje veriženja blokov, ki trdi, da je standard za varne aplikacije blockchain, ki zagotavlja rešitve za gradnjo, avtomatizacijo in upravljanje decentraliziranih aplikacij in še več, je razkrilo, da je pred kratkim popravilo napako Convex Finance, ki bi lahko pripeljala do 15 milijard dolarjev vrednega povleka preproge. .
Za tiste, ki se ne zavedajo, se napad vlečenja preproge zgodi, ko ustvarjalec decentraliziranega finančnega projekta nenadoma prenese ali ukrade celotna sredstva v likvidnostnih bazenih platforme in opusti projekt na škodo vlagateljev.
Glede na objavo v blogu ekipe OpenZeppelin je bila ranljivost v pametnih pogodbah Convex Finance odkrita med varnostno revizijo za kripto izmenjavo Coinbase decembra 2021.
Convex Finance je DeFi platforma, ki povečuje nagrade za Curve (CRV) deležnike in ponudnike likvidnosti. Convex Finance, ki ga je uvedel anonimni razvijalec maja 2021, je postal pomemben projekt v ekosistemu Curve s skupno zaklenjeno vrednostjo (TVL) v višini 15 milijard dolarjev.
Ker ima Convex Finance večino stabilnih kovancev Curve Finance CRV v obtoku, bi vlečenje preproge imelo uničujoč učinek na člane obeh ekosistemov.
OpenZeppelin je napisal/a:
»V okviru revizije je skupina za varnostne raziskave odkrila ranljivost, ki bi, če bi jo izkoristila dva od treh anonimnih podpisnikov denarnice z več podpisi (multisig), dala Convex multisig neposreden nadzor nad zaklenjeno vrednostjo Convexa – takrat približno 15 milijard dolarjev. V konveksni dokumentaciji je izrecno navedeno, da tak nadzor ni mogoč.
Dilemma
Čeprav je ekipa jasno povedala, da je bila napaka od takrat odpravljena, pa ugotavlja, da je dejstvo, da so ranljivost lahko izkoristili ali popravili le anonimni razvijalci, ki so zadolženi za protokol, naredilo postopek razkritja hudo opravilo.
»Dinamika stika z anonimnimi ekipami glede vprašanj je lahko zapletena. V mnogih primerih lahko ranljivost odprtokodne programske opreme izkoristi vsak, ki jo najde. V tem posebnem primeru pa bi lahko ranljivost izkoristili (ali popravili) samo anonimni Convexovi razvijalci,« je razkril OpenZeppelin.
Ekipa pravi, da je pretehtala več možnosti, kako razkriti varnostno napako Convexu, čeprav je verjela, da varnostna vrzel ni bila ustvarjena namerno, saj bi jim anonimni status ekipe razvijalcev lahko omogočil, da se zlahka izognejo napadom s preprogo. če so se odločili igrati umazano.
OpenZeppelin pravi, da se je odločil, da sliki doda podjetje za zbiranje hrošča Immunefi, ki bo delovalo kot posrednik med njim in Convexom.
Na koncu sta se obe strani strinjali, da:
»Najboljši način ukrepanja v zvezi s to dilemo je bil vključitev dodatnih javno znanih strank v multipodpis, s čimer je onemogočeno vlečenje preproge. Na tej točki je skupina za varnostne raziskave začela odprto komunikacijo s Convexom, pri čemer je zagotovila vse podrobnosti o ranljivosti in metodo testiranja. Kmalu zatem je Convex popravil ranljivost,« je navedla ekipa.
V času tiska ima Convex Finance (CVX) TVL v višini 14.41 milijarde dolarjev, kot pravi Defi Llama, medtem ko je cena njegovega domačega žetona CVX okoli 36.57 $, kot je razvidno na CoinMarketCap.
Vir: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/