OpenZeppelin atklāja, ka nesen atklāja nopietnu ievainojamību Convex Finance (CVX) DeFi protokola kodā, kas būtu novedusi pie 15 miljardu ASV dolāru paklāja, ja to izmantotu. Saskaņā ar 4. gada 2022. aprīļa komandas emuāra ierakstu Convex izstrādes komanda kopš tā laika ir aizlāpījusi nepilnību.
Izliekts Finance Rugpull Attack Foiled
OpenZeppelin, blokķēdes drošības firma, kas apgalvo, ka tā ir drošu blokķēdes lietojumprogrammu standarts, piedāvājot risinājumus decentralizētu lietojumprogrammu izveidei, automatizācijai un darbībai un daudz ko citu, ir atklājis, ka nesen ir izlabojis Convex Finance kļūdu, kas varētu būt izraisījusi 15 miljardu ASV dolāru paklāja piesaisti. .
Tiem, kas to nezina, paklāju vilkšanas uzbrukums notiek, kad decentralizētu finanšu projektu veidotājs pēkšņi pārskaita vai nozog visus platformas likviditātes fondos esošos līdzekļus un atsakās no projekta, kaitējot investoriem.
Saskaņā ar OpenZeppelin komandas emuāra ierakstu Convex Finance viedo līgumu ievainojamība tika atklāta Coinbase kriptovalūtu apmaiņas drošības audita laikā 2021. gada decembrī.
Convex Finance ir DeFi platforma, kas palielina atlīdzību Curve (CRV) dalībniekiem un likviditātes nodrošinātājiem. Convex Finance, ko 2021. gada maijā uzsāka anonīms izstrādātājs, ir kļuvis par ievērojamu projektu Curve ekosistēmā, un tajā laikā kopējā bloķētā vērtība (TVL) bija USD 15 miljardi.
Tā kā Convex Finance apgrozībā ir lielākā daļa Curve Finance CRV stabilo monētu, paklāja vilkšanai būtu bijusi postoša ietekme uz abu ekosistēmu locekļiem.
OpenZeppelin rakstīja:
“Pārbaudes ietvaros drošības izpētes grupa atklāja ievainojamību, kuru, ja to izmantotu divi no trim anonīmiem vairāku parakstu maka (multisig) parakstītājiem, Convex multisig būtu tiešu kontroli pār Convex bloķēto vērtību — tad aptuveni 15 miljardu dolāru apmērā. Izliektā dokumentācijā īpaši norādīts, ka šāda kontrole nav iespējama.
Dilemma
Lai gan komanda ir skaidri norādījusi, ka kļūda kopš tā laika ir novērsta, tā tomēr atzīmē, ka fakts, ka ievainojamību varēja izmantot vai labot tikai anonīmi izstrādātāji, kas atbildīgi par protokolu, padarīja izpaušanas procesu par ārkārtīgu uzdevumu.
“Sazināšanās ar anonīmām komandām par problēmām var būt sarežģīta. Daudzos gadījumos atvērtā pirmkoda programmatūras ievainojamību var izmantot ikviens, kas to atrod. Tomēr šajā konkrētajā gadījumā ievainojamību varēja izmantot (vai salabot) tikai Convex anonīmie izstrādātāji,” atklāj OpenZeppelin.
Komanda saka, ka ir apsvērusi vairākas iespējas, kā atklāt drošības nepilnību Convex, lai gan tā uzskatīja, ka drošības nepilnība nav radīta ar nolūku, jo izstrādātāju komandas anonīmais statuss var ļaut viņiem viegli atbrīvoties no paklāja vilkšanas uzbrukuma. ja viņi nolēma spēlēt netīri.
OpenZeppelin saka, ka ir nolēmis attēlam pievienot kļūdu novēršanas firmu Immunefi, lai tā darbotos kā starpnieks starp to un Convex.
Galu galā abas puses vienojās, ka:
“Labākais veids, kā risināt šo dilemmu, bija iekļaut multisig papildu publiski zināmas puses, padarot paklāja vilkšanu neiespējamu. Šajā brīdī drošības izpētes komanda sāka atklātu saziņu ar Convex, sniedzot pilnīgu informāciju par ievainojamību un testēšanas metodi. Neilgi pēc tam Convex aizlāpa ievainojamību," norādīja komanda.
Preses laikā Convex Finance (CVX) TVL ir 14.41 miljards USD, saskaņā ar Defi Llama datiem, savukārt tā vietējā CVX marķiera cena ir aptuveni 36.57 USD, kā redzams vietnē CoinMarketCap.
Avots: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/