Обычный аудит безопасности превратился в потенциальный кошмар для Convex Finance, поскольку команда безопасности OpenZeppelin обнаружила уязвимость во время проверки безопасности протокола Convex Finance.
Ошибка, если бы ее использовали, потенциально могла поставить под угрозу заблокированную стоимость Convex, которая на тот момент составляла 15 миллиардов долларов, что дало бы исследователям прямой контроль над ней. Интересно отметить, что в документации Convex говорилось, что такой уровень контроля над его заблокированным значением был бы невозможен. С момента обнаружения команда Convex быстро исправила уязвимость.
Детали ошибки
OpenZeppelin пролил свет на обнаружение ошибки и последующее исправление в блоге. Convex, один из самых известных протоколов DeFi, имел серьезную ошибку, которая поставила под угрозу 15 миллиардов долларов его заблокированной стоимости. Протокол содержит большинство токенов CRV Curve Finance. Curve — ведущий автоматизированный маркет-мейкер стейблкоинов, обеспечивающий около 1/10 ликвидности децентрализованной экономики.
Ошибка, обнаруженная группой исследователей безопасности OpenZeppelin, означала, что если два или три подписавших мультиподпись Convex выполнили определенную серию шагов, они получили неограниченный доступ к токенам поставщика ликвидности, которые были размещены в целевом пуле, настроенном токеном LP и целевым датчиком.
Документация из Convex показал, что такой сценарий не должен быть возможен, но с тех пор был обновлен. Это сделало разрешение немного сложным. Тем не менее, 14 декабря 2021 года уязвимость была исправлена. Вы можете узнать больше о том, как эта ошибка могла быть использована. здесь.
Осложнения раскрытия информации
Мы упоминали, что раскрытие ошибки было немного сложным для команды OpenZeppelin. Давайте поймем, почему. Это становится немного сложнее, если команда находит уязвимость протокола, которую может использовать или исправить только команда разработчиков рассматриваемого протокола. Эта уязвимость дает идеальное представление о том, как несогласованные стимулы и несовершенные ситуационные знания могут привести к осложнениям, когда дело доходит до раскрытия уязвимостей. В случае с Curve уязвимостью могли воспользоваться только анонимные разработчики Convex.
OpenZeppelin были уверены, что уязвимость в Convex была непреднамеренной, но не могли быть в этом уверены. Еще один уровень сложности заключался в том, что даже если команда Convex не знала об ошибке, раскрытие информации создавало стимул для разработчиков Convex действовать злонамеренно, с 15 миллиардами долларов, которые можно было получить. В то время как OpenZeppelin был готов дать разработчикам Convex презумпцию невиновности, последствия были бы значительными, если бы оказалось, что это неправильно.
Путь вперед с раскрытием информации
Опасения OpenZeppelin могут быть развеяны, если Convex раскроет личности разработчиков. Однако это может привести к проблемам безопасности со стороны Convex, когда разработчики потеряют свою анонимность. Таким образом, у команды OpenZeppelin оставалось три пути вперед.
- Раскрытие деталей уязвимости для Convex – Это влекло за собой некоторый риск, поскольку, если бы уязвимость была преднамеренной, раскрытие информации побудило бы разработчиков выполнить задуманное.
- Сообщите об уязвимости сообществу – Хотя были некоторые аргументы в пользу раскрытия уязвимости сообществу в целом, OpenZeppelin сочла, что такой образ действий был бы безответственным. Из этого курса действий могли возникнуть два возможных сценария. Если бы уязвимость была раскрыта и была преднамеренной, разработчики выполнили бы свои обязательства. Однако, если бы это было непреднамеренно, это нанесло бы значительный ущерб репутации Convex.
- Получите гарантии того, что команда Convex не воспользуется уязвимостью, а затем раскройте - Это был подход, принятый OpenZeppelin, когда команда обратилась к партнеру по поиску ошибок Immunefi в поисках посредника между Convex и OpenZeppelin.
Добавление общеизвестных лиц к выпуклой мультиподписи
Добавление общеизвестных участников к мультиподписи Convex было ключом к снижению риска. Команда безопасности OpenZeppelin и анонимные разработчики из Convex согласились, что добавление общеизвестных сторон к мультиподписи было бы лучшим способом действий, что сделало бы невозможной махинацию. После того, как связь между OpenZeppelin и Convex была установлена, последний заплата уязвимость.
Отказ от ответственности: эта статья предназначена только для информационных целей. Он не предлагается и не предназначен для использования в качестве юридических, налоговых, инвестиционных, финансовых или иных советов.
Источник: https://cryptodaily.co.uk/2022/04/openzeppelin-discovers-15-billion-rug-pull-vulnerability-in-convex-finance.