OpenZeppelin откри дека неодамна открил сериозна ранливост во кодот на протоколот Convex Finance (CVX) DeFi, што би довело до влечење од 15 милијарди долари ако се искористи. Дупката оттогаш е закрпена од тимот за развој на Convex, според блог-објавата на тимот од 4 април 2022 година.
Спречен напад на конвексни финансии Rugpull
OpenZeppelin, компанија за безбедност на блокчејн која тврди дека е стандард за безбедни блокчејн апликации, обезбедувајќи решенија за градење, автоматизирање и управување со децентрализирани апликации и многу повеќе, откри дека неодамна ја закрпила грешката Convex Finance што можела да доведе до повлекување на килимот од 15 милијарди долари. .
За оние кои не се свесни, нападот со повлекување на килим се случува кога креаторот на децентрализиран финансиски проект ненадејно ќе ги префрли или ги украде сите средства во базените за ликвидност на платформата и ќе го напушти проектот, на штета на инвеститорите.
Според објавата на блогот на тимот на OpenZeppelin, ранливоста во паметните договори Convex Finance беше откриена за време на вежба за безбедносна ревизија за размена на крипто Coinbase во декември 2021 година.
Convex Finance е платформа DeFi која ги зголемува наградите за учесниците на Curve (CRV) и давателите на ликвидност. Лансиран од анонимен развивач во мај 2021 година, Convex Finance прерасна во значаен проект во екосистемот Curve, со 15 милијарди долари во вкупна вредност заклучена (TVL) во тоа време.
Бидејќи Convex Finance го држи најголемиот дел од CRV стабилните монети на Curve Finance во оптек, повлекувањето на килимот би имало разурнувачки ефект врз членовите на двата екосистеми.
OpenZeppelin напиша:
„Како дел од ревизијата, Тимот за истражување на безбедноста откри ранливост што, доколку ја искористат двајца од трите анонимни потписници на паричник со повеќе потписи (multisig), би му дале на Convex multisig директна контрола врз заклучената вредност на Convex - тогаш приближно 15 милијарди долари. Конвексната документација конкретно наведе дека таквата контрола не е можна“.
Дилемата
Иако тимот јасно стави до знаење дека грешката оттогаш е поправена, сепак забележува дека фактот што ранливоста може да биде искористена или поправена само од анонимните развивачи задолжени за протоколот, го направи процесот на откривање тешка задача.
„Динамиката на контактирање со анонимни тимови за прашања може да биде сложена. Во многу случаи, ранливоста во софтверот со отворен код може да биде искористена од секој што ќе ја пронајде. Меѓутоа, во овој специфичен пример, ранливоста може да биде искористена (или закрпена) само од анонимните програмери на Convex“, откри OpenZeppelin.
Тимот вели дека имал неколку опции за тоа како да се открие безбедносниот пропуст на Convex, иако верувал дека безбедносната дупка не била намерно создадена, бидејќи анонимниот статус на тимот за развивачи може да им дозволи лесно да се извлечат со напад на тепих. ако решиле да играат валкано.
OpenZeppelin вели дека одлучил да додаде фирма за баунти за грешки, Immunefi на сликата, за да функционира како посредник помеѓу неа и Convex.
На крајот, двете страни се согласија дека:
„Најдобриот начин на дејствување за оваа дилема беше да се вклучат дополнителни јавно познати страни во мултисиг, што го оневозможува влечењето на килимот. Во овој момент, Тимот за истражување на безбедноста започна отворена комуникација со Convex, обезбедувајќи целосни детали за ранливоста и метод на тестирање. Набргу потоа, Convex ја закрпи ранливоста“, изјави тимот.
Во моментот на објавување, Convex Finance (CVX) има TVL од 14.41 милијарди долари, според Дефи Лама, додека цената на нејзиниот мајчин токен CVX се движи околу 36.57 долари, како што се гледа на CoinMarketCap.
Извор: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/