- Drošības audita firma OpenZepplin atklāj potenciālu paklāja vilkšanu Convex Finance, kas varētu būt radījusi zaudējumus 15 miljardu USD vērtībā.
- Ja divi no trim Convex multisig parakstītājiem īstenotu noteiktu darbību sēriju, izmeklēšanā tika uzsvērts, ka lietotāji varēs piekļūt visiem LP marķieriem.
- Convex komanda vēlāk laboja iespējamo kļūdu.
Drošības audita uzņēmums šifrēšanas birža Coinbase ir uzsvērusi paklāju vilkšanas ievainojamības 15 miljardu dolāru vērtībā pakalpojumā Convex Finance, kuras anonīmie izstrādātāji vēlāk parūpējās par riskiem. Tas tika noskaidrots Convex Finance Protocol drošības pārskata laikā.
OpenZepplin drošības izpētes komanda pagājušā gada beigās atklāja, ka ievērojama protokola kļūda varētu būt novedusi pie bloķētu aktīvu iegūšanas 15 miljardu dolāru vērtībā, kas pakļauti riskam. Turklāt viņu atklājumi atklāja, ka, ja divi no trim Convex multisig parakstītājiem īstenotu noteiktu darbību sēriju, lietotāji varētu piekļūt visiem mērķa pūlā ievietotajiem LP marķieriem. Turpināt paklāju vilkšanu, visu līdzekļu nozagšanu no baseina.
Tomēr Convex Finance dokumentācijā tika uzsvērts, ka šāda LP pūlu kļūda nebūtu iespējama. Taču drošības komanda vēlāk atklāja veidus, kā izmantot ievainojamības, par kurām pēc tam decembra vidū parūpējās Convex.
Ievainojamību varēja izmantot tikai anonīmie izstrādātāji
Convex Finance ir atvērtā pirmkoda protokols, un tā izstrādātāji līdz šim ir izvēlējušies palikt anonīmi. Drošības audita firma norādīja, ka tikai Convex Finance izstrādātāji var izmantot ievainojamības. Atklāsme par ievainojamībām kļuva nedaudz sarežģīta izstrādātāju anonimitātes dēļ.
Tas arī uzsvēra, ka ievainojamība nebija īsti paredzēta un ka izstrādātāji ir labticīgi dalībnieki pēc tam, kad ir analizējuši Convex nepieciešamo reklāmas kodu, lai izmantotu šīs ievainojamības.
Saskaņā ar OpenZepplin teikto, publiskošana būtu radījusi nepareizu stimulu Convex Finance izstrādātājiem un veicinājusi Convex komandai būtisko anonimitātes zaudēšanu.
Drošības audita uzņēmums atklāja Convex iespējamo kļūdu, pamatojoties uz to, ka komanda viņiem apliecināja, ka tās neizmantos. Pēc tam Convex novērsa iespējamo paklāja vilkšanas problēmu.
Jūsu darbs IR Klientu apkalpošana šifrēšanas nozare nav brīva no šāda veida krāpšanas. Drošības problēmas ir neizbēgamas, un potenciālie paklāju vilkumi jebkurā gadījumā pārmeklēs telpu. Viena lieta, ko mēs varam darīt, ir identificēt draudus un novērst tos pirms zaudējuma, kā to darīja Convex komanda.
Avots: https://www.thecoinrepublic.com/2022/04/07/convex-finance-potential-rugpull-discovered-by-openzepplin-might-have-costed-15b/