OpenZeppelin сообщила, что недавно обнаружила серьезную уязвимость в коде протокола Convex Finance (CVX) DeFi, эксплуатация которой привела бы к потере 15 миллиардов долларов. Согласно сообщению в блоге команды от 4 апреля 2022 года, лазейка была исправлена командой разработчиков Convex.
Сорвана атака Convex Finance Rugpull
OpenZeppelin, фирма, занимающаяся безопасностью блокчейна, которая утверждает, что является стандартом для безопасных блокчейн-приложений, предоставляя решения для создания, автоматизации и эксплуатации децентрализованных приложений и многого другого, сообщила, что недавно она исправила ошибку Convex Finance, которая могла привести к вытягиванию ковра на 15 миллиардов долларов. .
Для тех, кто не знает, атака с использованием коврика происходит, когда создатель децентрализованного финансового проекта внезапно переводит или крадет все средства в пулах ликвидности платформы и отказывается от проекта в ущерб инвесторам.
Согласно сообщению в блоге команды OpenZeppelin, уязвимость в смарт-контрактах Convex Finance была обнаружена во время проверки безопасности криптобиржи Coinbase в декабре 2021 года.
Convex Finance — это платформа DeFi, которая увеличивает вознаграждение для участников Curve (CRV) и поставщиков ликвидности. Запущенный анонимным разработчиком в мае 2021 года, Convex Finance превратился в заметный проект в экосистеме Curve с общей заблокированной стоимостью 15 миллиардов долларов (TVL) на тот момент.
Поскольку Convex Finance держит в обращении большую часть стейблкоинов Curve Finance CRV, махинации на ковре оказали бы разрушительное воздействие на участников обеих экосистем.
OpenZeppelin пишет:
«В рамках аудита исследовательская группа по безопасности обнаружила уязвимость, которая, если бы ее использовали два из трех анонимных подписантов кошелька с мультиподписью (multisig), дала бы мультиподписи Convex прямой контроль над заблокированной стоимостью Convex — тогда это примерно 15 миллиардов долларов. В документации Conveve прямо указано, что такой контроль невозможен».
Дилемма
Хотя команда ясно дала понять, что с тех пор ошибка была исправлена, она, тем не менее, отмечает, что тот факт, что уязвимость могла быть использована или исправлена только анонимными разработчиками, отвечающими за протокол, сделал процесс раскрытия геркулесовой задачей.
«Динамика обращения анонимных команд по поводу проблем может быть сложной. Во многих случаях уязвимость в программном обеспечении с открытым исходным кодом может использовать любой, кто ее найдет. Однако в данном конкретном случае уязвимость могла быть использована (или исправлена) только анонимными разработчиками Convex», — сообщила OpenZeppelin.
Команда говорит, что взвесила несколько вариантов того, как сообщить Convex об уязвимости в системе безопасности, хотя считала, что лазейка в системе безопасности не была создана намеренно, поскольку анонимный статус команды разработчиков мог позволить им легко избежать неприятностей с атакой. если они решили играть грязно.
OpenZeppelin заявляет, что решила добавить к картине фирму по поиску ошибок Immunefi, которая будет действовать в качестве посредника между ней и Convex.
В итоге обе стороны согласились, что:
«Лучшим решением этой дилеммы было включение в мультиподпись дополнительных общеизвестных сторон, что сделало бы невозможным вытягивание ковра. В этот момент группа исследователей безопасности начала открытое общение с Convex, предоставив полную информацию об уязвимостях и метод тестирования. Вскоре после этого Convex исправила уязвимость», — заявили в команде.
По данным Defi Llama, на момент публикации Convex Finance (CVX) имеет TVL в размере 14.41 миллиарда долларов, в то время как цена его нативного токена CVX составляет около 36.57 доллара, как видно на CoinMarketCap.
Источник: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/