OpenZeppelin ujawnił, że niedawno odkrył poważną lukę w kodzie protokołu DeFi firmy Convex Finance (CVX), która w przypadku wykorzystania doprowadziłaby do straty w wysokości 15 miliardów dolarów. Jak wynika z wpisu na blogu z 4 kwietnia 2022 r., luka została załatana przez zespół programistów Convex.
Atak Convex Finance Rugpull udaremniony
OpenZeppelin, firma zajmująca się bezpieczeństwem blockchain, która twierdzi, że jest standardem dla bezpiecznych aplikacji blockchain, dostarczając rozwiązania do tworzenia, automatyzacji i obsługi zdecentralizowanych aplikacji i nie tylko, ujawniła, że niedawno załatała błąd Convex Finance, który mógł doprowadzić do ściągania dywanu o wartości 15 miliardów dolarów .
Dla tych, którzy nie są tego świadomi, atak dywanika ma miejsce, gdy twórca zdecentralizowanego projektu finansowego nagle przekazuje lub kradnie całe środki w pulach płynności platformy i porzuca projekt ze szkodą dla inwestorów.
Jak wynika z wpisu na blogu zespołu OpenZeppelin, luka w inteligentnych kontraktach Convex Finance została odkryta podczas audytu bezpieczeństwa giełdy kryptowalut Coinbase w grudniu 2021 r.
Convex Finance to platforma DeFi, która zwiększa nagrody dla graczy Curve (CRV) i dostawców płynności. Uruchomiony przez anonimowego programistę w maju 2021 r. Convex Finance stał się znaczącym projektem w ekosystemie Curve, którego całkowita wartość zablokowana (TVL) wynosiła wówczas 15 miliardów dolarów.
Ponieważ Convex Finance posiada większość stabilnych monet CRV Curve Finance w obiegu, wyciągnięcie dywanika miałoby niszczycielski wpływ na członków obu ekosystemów.
OpenZeppelin pisze:
„W ramach audytu zespół ds. badań nad bezpieczeństwem odkrył lukę w zabezpieczeniach, która w przypadku wykorzystania przez dwóch z trzech anonimowych sygnatariuszy portfela z wieloma podpisami (multisig) dałaby firmie Convex multisig bezpośrednią kontrolę nad zablokowaną wartością firmy Convex – wówczas około 15 miliardów dolarów. W dokumentacji firmy Convex wyraźnie stwierdzono, że taka kontrola nie jest możliwa”.
Dylemat
Chociaż zespół dał jasno do zrozumienia, że błąd został już naprawiony, zauważa jednak, że fakt, że lukę mogli wykorzystać lub załatać jedynie anonimowi twórcy odpowiedzialni za protokół, sprawił, że proces ujawnienia stał się herkulesowym zadaniem.
„Dynamika kontaktowania się z anonimowymi zespołami w sprawie problemów może być złożona. W wielu przypadkach luka w oprogramowaniu typu open source może zostać wykorzystana przez każdego, kto ją znajdzie. Jednak w tym konkretnym przypadku lukę mogli wykorzystać (lub załatać) jedynie anonimowi programiści firmy Convex” – ujawnił OpenZeppelin.
Zespół twierdzi, że rozważał kilka opcji ujawnienia firmie Convex luki w zabezpieczeniach, mimo że uważał, że luka w zabezpieczeniach nie została utworzona celowo, ponieważ anonimowy status zespołu programistów mógłby pozwolić im łatwo uniknąć ataku polegającego na przeciąganiu dywanika gdyby zdecydowali się grać nieczysto.
OpenZeppelin twierdzi, że zdecydował się dodać do tego firmę Immunefi zajmującą się nagrodami za błędy, aby działać jako pośrednik między nią a firmą Convex.
Ostatecznie obie strony zgodziły się, że:
„Najlepszym sposobem rozwiązania tego dylematu było włączenie dodatkowych, publicznie znanych stron do multisig, co uniemożliwiłoby ciągnięcie dywanika. W tym momencie Zespół ds. Badań nad Bezpieczeństwem rozpoczął otwartą komunikację z firmą Convex, podając pełne szczegóły dotyczące podatności oraz metodę testowania. Wkrótce potem firma Convex załatała lukę” – stwierdził zespół.
Według Defi Llama, w momencie publikacji prasy Convex Finance (CVX) ma TVL na poziomie 14.41 miliarda dolarów, podczas gdy cena jego natywnego tokena CVX kształtuje się na poziomie około 36.57 dolarów, jak widać na CoinMarketCap.
Źródło: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/