- Bezpečnostná audítorská spoločnosť OpenZepplin objavila potenciálny koberec v Convex Finance, ktorý by mohol viesť k strate v hodnote 15 miliárd dolárov.
- Ak dvaja z troch signatárov konvexného multisig implementovali konkrétnu sériu krokov, vyšetrovanie zdôraznilo, že používatelia budú mať prístup ku všetkým LP tokenom.
- Tím Convex neskôr potenciálnu chybu opravil.
Bezpečnostná audítorská firma pre šifrovací burza Coinbase upozornila na zraniteľnosť pri ťahaní kobercov v hodnote 15 miliárd dolárov v Convex Finance, ktorej anonymní vývojári sa neskôr postarali o riziká. Zistilo sa to počas kontroly zabezpečenia Convex Finance Protocol.
Bezpečnostný výskumný tím OpenZepplin koncom minulého roka zistil, že značná chyba v protokole mohla viesť k získaniu uzamknutých aktív v hodnote 15 miliárd dolárov, ktoré sú náchylné na riziko. Okrem toho ich zistenia odhalili, že ak by dvaja z troch signatárov konvexného multisig implementovali konkrétnu sériu krokov, používatelia by mali prístup ku všetkým LP tokenom vsadeným v cieľovej skupine. Ďalej vyťahovanie kobercov, krádež všetkých aktív z bazéna.
Dokumentácia Convex Finance však zdôraznila, že takáto chyba, ktorá by sa vyskytla pri fondoch LP, by nebola možná. Bezpečnostný tím však neskôr objavil spôsoby, ako tieto zraniteľnosti zneužiť, o ktoré sa potom v polovici decembra postarala spoločnosť Convex.
Zraniteľnosť bola zneužiteľná výlučne anonymnými vývojármi
Convex Finance je protokol s otvoreným zdrojovým kódom a jeho vývojári sa zatiaľ rozhodli zostať v anonymite. Spoločnosť bezpečnostného auditu uviedla, že iba vývojári Convex Finance mohli zneužiť zraniteľné miesta. Odhalenie o zraniteľnosti sa trochu skomplikovalo kvôli anonymite vývojárov.
Ďalej zdôraznil, že táto chyba zabezpečenia nebola v skutočnosti zamýšľaná a že vývojári sú dobrými hráčmi po analýze úsilia, ktoré potrebuje kód reklamy Convex na využitie týchto zraniteľností.
Podľa OpenZepplin by zverejnenie vytvorilo zvrátený stimul pre vývojárov Convex Finance a prispelo by k strate anonymity, ktorá je pre tím Convex nevyhnutná.
Spoločnosť Security Audit odhalila potenciálnu chybu spoločnosti Convex na základe toho, že tím ich uistil, že ich nezneužívajú. Potom spoločnosť Convex vyriešila potenciálny problém s ťahaním koberca.
šifrovací priemysel nie je oslobodený od týchto druhov podvodov. Problémy s bezpečnosťou sú nevyhnutné a potenciálne koberce sa budú aj tak plaziť po priestore. Jedna vec, ktorú môžeme urobiť, je identifikovať hrozbu a odstrániť ju pred stratou, ako to urobil tím Convex.
Zdroj: https://www.thecoinrepublic.com/2022/04/07/convex-finance-potential-rugpull-discovered-by-openzepplin-might-have-costed-15b/