OpenZeppelin on paljastanud, et avastas hiljuti Convex Finance'i (CVX) DeFi protokolli koodis tõsise haavatavuse, mis oleks ärakasutamise korral kaasa toonud 15 miljardi dollari suuruse vaibatõmbe. Vastavalt meeskonna 4. aprillil 2022 avaldatud ajaveebipostitusele on Convexi arendusmeeskond lünga pärast seda lappinud.
Kumer Finance Rugpull Attack foiled
OpenZeppelin, plokiahela turvafirma, mis väidab end olevat turvaliste plokiahela rakenduste standard, pakkudes lahendusi detsentraliseeritud rakenduste loomiseks, automatiseerimiseks ja käitamiseks ja palju muud, on avastanud, et parandas hiljuti Convex Finance'i vea, mis oleks võinud kaasa tuua 15 miljardi dollari suuruse vaipade tõmbamise. .
Nende jaoks, kes pole teadlikud, juhtub vaibatõmbe rünnak, kui detsentraliseeritud finantsprojekti looja kannab ootamatult üle või varastab kogu platvormi likviidsuskogumi vahendid ja loobub projektist investorite kahjuks.
OpenZeppelini meeskonna ajaveebipostituse kohaselt avastati 2021. aasta detsembris Coinbase'i krüptovahetuse turvaauditi käigus Convex Finance'i nutikate lepingute haavatavus.
Convex Finance on DeFi platvorm, mis suurendab Curve (CRV) panustajate ja likviidsuse pakkujate hüvesid. 2021. aasta mais anonüümse arendaja käivitatud Convex Finance on kasvanud Curve'i ökosüsteemis märkimisväärseks projektiks, mille koguväärtus oli sel ajal lukustatud (TVL) 15 miljardit dollarit.
Kuna Convex Finance hoiab ringluses suuremat osa Curve Finance'i CRV stabiilsetest müntidest, oleks vaiba tõmbamisel olnud mõlema ökosüsteemi liikmetele laastav mõju.
OpenZeppelin kirjutas:
„Auditi käigus avastas turbeuuringute meeskond haavatavuse, mida oleks kolmest anonüümsest mitme allkirjaga rahakoti (multisig) allkirjastajast kaks ära kasutanud, andnud Convex multisigile otsese kontrolli Convexi lukustatud väärtuse üle – siis ligikaudu 15 miljardit dollarit. Kumer dokumentatsioon ütles konkreetselt, et selline kontroll pole võimalik.
Dilemma
Kuigi meeskond on teinud selgeks, et viga on vahepeal parandatud, märgib ta siiski, et asjaolu, et haavatavust said kasutada või parandada ainult protokolli eest vastutavad anonüümsed arendajad, muutis avalikustamise protsessi totaalseks ülesandeks.
„Anonüümsete meeskondadega probleemidega ühenduse võtmise dünaamika võib olla keeruline. Paljudel juhtudel saavad avatud lähtekoodiga tarkvara haavatavust ära kasutada kõik, kes selle leiavad. Sellel konkreetsel juhul said haavatavust ära kasutada (või paika panna) ainult Convexi anonüümsed arendajad, ”selgitas OpenZeppelin.
Meeskond ütleb, et kaalus mitmeid võimalusi, kuidas turbeviga Convexile avaldada, ehkki ta uskus, et turvalünk ei olnud tahtlikult loodud, kuna arendajameeskonna anonüümne staatus võib võimaldada neil hõlpsalt pääseda vaiba tõmbamise rünnakust. kui nad otsustasid räpakalt mängida.
OpenZeppelin ütleb, et otsustas pildile lisada veafirma Immunefi, mis toimiks vahendajana selle ja Convexi vahel.
Lõpuks leppisid mõlemad pooled kokku, et:
"Parim viis selle dilemma lahendamiseks oli kaasata multisigisse täiendavad avalikult tuntud osapooled, muutes vaiba tõmbamise võimatuks. Sel hetkel alustas turbeuuringute meeskond avatud suhtlust Convexiga, pakkudes haavatavuse täielikke üksikasju ja testimismeetodit. Varsti pärast seda parandas Convex haavatavuse, " teatas meeskond.
Pressiajal on Convex Finance'i (CVX) TVL Defi Llama andmetel 14.41 miljardit dollarit, samal ajal kui selle algse CVX-märgi hind on umbes 36.57 dollarit, nagu CoinMarketCapil näha.
Allikas: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/