OpenZeppelin har afsløret, at det for nylig har afsløret en alvorlig sårbarhed i Convex Finance (CVX) DeFi-protokolkoden, der ville have ført til et tæppetræk på $15 milliarder, hvis det blev udnyttet. Smuthullet er siden blevet rettet af Convex-udviklingsteamet, ifølge et blogindlæg den 4. april 2022 fra holdet.
Convex Finance Rugpull Attack Foliet
OpenZeppelin, et blockchain-sikkerhedsfirma, der hævder at være standarden for sikre blockchain-applikationer, der leverer løsninger til at bygge, automatisere og drive decentraliserede applikationer og mere, har afsløret, at det for nylig har rettet en Convex Finance-fejl, der kunne have ført til et tæppetræk på $15 milliarder .
For dem, der ikke er klar over, sker der et rugpull-angreb, når en decentraliseret finansprojektskaber pludselig overfører eller stjæler hele midlerne i platformens likviditetspuljer og opgiver projektet til skade for investorerne.
Ifølge et blogindlæg af OpenZeppelin-teamet blev sårbarheden i Convex Finance smarte kontrakter opdaget under en sikkerhedsrevisionsøvelse for Coinbase kryptoudveksling i december 2021.
Convex Finance er en DeFi-platform, der booster belønninger for Curve (CRV) stakers og likviditetsudbydere. Lanceret af en anonym udvikler i maj 2021, er Convex Finance vokset til at blive et bemærkelsesværdigt projekt i Curve-økosystemet med $15 milliarder i total værdi låst (TVL) på det tidspunkt.
Da Convex Finance har størstedelen af Curve Finances CRV stablecoins i omløb, ville et tæppetræk have haft en ødelæggende effekt på medlemmerne af begge økosystemer.
OpenZeppelin skrev:
"Som en del af revisionen afslørede sikkerhedsforskningsteamet en sårbarhed, som, hvis den blev udnyttet af to af tre anonyme multi-signatur wallet (multisig)-underskrivere, ville have givet Convex multisig direkte kontrol over Convex' låste værdi - så cirka 15 milliarder dollars. Konveks dokumentation erklærede specifikt, at en sådan kontrol ikke var mulig."
Det dilemma
Selvom holdet har gjort det klart, at fejlen siden er blevet rettet, bemærker det dog, at det faktum, at sårbarheden kun kunne udnyttes eller lappes af de anonyme udviklere med ansvar for protokollen, gjorde afsløringsprocessen til en stor opgave.
“Dynamikken i at kontakte anonyme teams om problemer kan være kompleks. I mange tilfælde kan en sårbarhed i open source-software udnyttes af enhver, der finder den. I dette specifikke tilfælde kunne sårbarheden dog kun udnyttes (eller lappes) af Convex' anonyme udviklere,” afslørede OpenZeppelin.
Holdet siger, at det afvejede flere muligheder for, hvordan man afslører sikkerhedsfejlen til Convex, selvom det mente, at sikkerhedshullet ikke var skabt med vilje, da udviklerteamets anonyme status kunne lade dem slippe af sted med et angreb på tæppet. hvis de besluttede at spille dirty.
OpenZeppelin siger, at det besluttede at tilføje et bug-bounty-firma, Immunefi, til billedet, for at fungere som et mellemled mellem det og Convex.
I sidste ende var begge parter enige om, at:
"Den bedste fremgangsmåde til dette dilemma var at inkorporere yderligere offentligt kendte parter til multisig, hvilket gjorde et tæppetræk umuligt. På dette tidspunkt påbegyndte sikkerhedsforskningsteamet åben kommunikation med Convex, hvilket gav fuldstændige sårbarhedsdetaljer og en testmetode. Kort efter lappede Convex sårbarheden,” udtalte holdet.
På pressetidspunktet har Convex Finance (CVX) en TVL på 14.41 milliarder dollars ifølge Defi Llama, mens prisen på dets oprindelige CVX-token ligger på omkring 36.57 dollar, som det ses på CoinMarketCap.
Kilde: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/