Az OpenZeppelin felfedte, hogy a közelmúltban egy súlyos sérülékenységet tárt fel a Convex Finance (CVX) DeFi protokoll kódjában, amely 15 milliárd dolláros szőnyeglehúzáshoz vezetett volna, ha kihasználják. A kiskaput azóta a Convex fejlesztőcsapata befoltozta, derül ki a csapat 4. április 2022-i blogbejegyzéséből.
Konvex Finance Rugpull Attack Fóliázva
Az OpenZeppelin, a blokklánc-biztonsági cég, amely a biztonságos blokklánc-alkalmazások szabványának vallja magát, és megoldásokat kínál decentralizált alkalmazások létrehozására, automatizálására és üzemeltetésére, és egyebek mellett felfedte, hogy nemrégiben kijavított egy Convex Finance hibát, amely 15 milliárd dolláros szőnyegkivonáshoz vezethetett volna. .
Azok számára, akik nem tudnak róla, rug pull támadás történik, amikor egy decentralizált pénzügyi projekt létrehozója hirtelen átutalja vagy ellopja a platform likviditási készletében lévő teljes forrást, és felhagy a projekttel, a befektetők kárára.
Az OpenZeppelin csapatának blogbejegyzése szerint a Convex Finance intelligens szerződéseinek sebezhetőségét a Coinbase kriptocsere biztonsági ellenőrzése során fedezték fel 2021 decemberében.
A Convex Finance egy DeFi platform, amely növeli a Curve (CRV) stakerek és likviditásszolgáltatók jutalmait. A 2021 májusában egy névtelen fejlesztő által elindított Convex Finance a Curve ökoszisztéma figyelemre méltó projektjévé nőtte ki magát, és akkoriban 15 milliárd dollár összértéket zárt (TVL).
Mivel a Convex Finance tartja forgalomban a Curve Finance CRV stabil érméinek többségét, a szőnyeghúzás mindkét ökoszisztéma tagjaira pusztító hatással lett volna.
OpenZeppelin írta:
„Az audit részeként a biztonsági kutatócsoport feltárt egy sebezhetőséget, amelyet ha a három névtelen, több aláírást aláíró pénztárca (multisig) aláíró közül kettő kihasznált volna, a Convex multisig közvetlen irányítást biztosított volna a Convex zárolt értéke – akkor körülbelül 15 milliárd dollár – felett. A konvex dokumentáció kifejezetten kimondta, hogy ilyen ellenőrzés nem lehetséges."
The Dilemma
Bár a csapat egyértelművé tette, hogy a hibát azóta kijavították, ugyanakkor megjegyzi, hogy az a tény, hogy a sebezhetőséget csak a protokollért felelős névtelen fejlesztők tudták kihasználni vagy javítani, a nyilvánosságra hozatali folyamatot herkuletikus feladattá tette.
„Az anonim csapatokkal való kapcsolatfelvétel dinamikája összetett lehet. Sok esetben a nyílt forráskódú szoftverek biztonsági rését bárki kihasználhatja, aki megtalálja. Ebben a konkrét esetben azonban a sebezhetőséget csak a Convex névtelen fejlesztői tudták kihasználni (vagy javítani)” – nyilatkozta OpenZeppelin.
A csapat azt állítja, hogy több lehetőséget mérlegelt a biztonsági hiba felfedésére a Convex számára, bár úgy gondolta, hogy a biztonsági rést nem szándékosan hozták létre, mivel a fejlesztőcsapat névtelen státusza miatt könnyen megúszhatják a rug pull támadást. ha úgy döntenek, hogy piszkosul játszanak.
Az OpenZeppelin azt állítja, hogy úgy döntött, hogy hozzáad egy hibakereső céget, az Immunefit a képhez, hogy közvetítőként működjön közte és a Convex között.
Végül mindkét fél egyetértett abban, hogy:
„A legjobb megoldás erre a dilemmára az volt, ha további nyilvánosan ismert feleket vontunk be a multisigbe, lehetetlenné téve a szőnyeghúzást. Ezen a ponton a Biztonsági Kutatócsoport nyílt kommunikációt kezdett a Convexszel, teljes körű sérülékenységgel és tesztelési módszerrel. Nem sokkal ezután a Convex befoltozta a sebezhetőséget” – nyilatkozta a csapat.
A sajtó idején a Convex Finance (CVX) TVL-je 14.41 milliárd dollár a Defi Llama szerint, míg a natív CVX token ára 36.57 dollár körül mozog, amint az a CoinMarketCapen látható.
Forrás: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/