OpenZeppelin, spoločnosť zaoberajúca sa bezpečnostným auditom pre Coinbase, identifikovala 15 miliárd USD rugpull zraniteľnosti v Convex Finance, ktorých anonymní vývojári neskôr toto riziko vyriešili. K prekvapivému objavu došlo počas bezpečnostnej kontroly protokolu Convex Finance.
Chyba, ktorú možno využiť iba zvnútra
Tím bezpečnostného výskumu z OpenZeppelin koncom roka 2021 zistil, že významná chyba v protokole mohla viesť k ohrozeniu uzamknutých aktív v hodnote 15 miliárd dolárov. Vyšetrovanie odhalilo, že „ak dvaja z troch signatárov konvexného multisigu vykonali špecifickú sériu krokov, používatelia by mohli získať prístup ku všetkým tokenom LP vloženým v cieľovom fonde, a tak vykonať rugpull – ukradnúť všetky aktíva z fondu. .“
dokumentácia z Convex v tom čase uviedla, že takáto katastrofa, ktorá by sa vyskytla v jej LP pooloch, by nebola možná. Bezpečnostný tím však neskôr identifikoval spôsoby zneužitia zraniteľností – ktoré našťastie spoločnosť Convex 14. decembra 2021 opravila.
Convex Finance je open-source protokol, ktorého vývojári zostali od jeho uvedenia v anonymite. V tomto prípade, ako uvedené od OpenZeppelin, iba vývojári Convex Finance môžu skutočne zneužiť zraniteľné miesta. Odhalenie incidentu sa stalo obzvlášť komplikovaným vzhľadom na povahu anonymity.
Komplikácie zverejnenia
Po analýze kódu a úsilia, ktoré Convex vyžaduje na zneužitie zraniteľností, OpenZeppelin tvrdil, že zraniteľnosť bola neúmyselná a že vývojári Convexu sú herci v dobrej viere.
„Zverejnenie by vytvorilo zvrátený stimul pre vývojárov spoločnosti Convex“ a prispelo k strate anonymity, ktorá je pre tím spoločnosti Convex kľúčová. Spoločnosť OpenZeppelin sa preto rozhodla „osloviť partnera Immunefi v oblasti odmeňovania chýb, aby vám predstavil sprostredkovateľa medzi OpenZeppelin a Convex“.
Potom, čo sa obe strany dohodli na pozvaní verejne známych subjektov na multisig, čím sa rugpull znemožnil, OpenZeppelin oznámil chybu Convexu na základe ubezpečenia tímu, že nevyužije slabiny. Convex opravil problém čoskoro potom, čím ukončil riziko rugpull, ktorý by mal hodnotu 15 miliárd dolárov.
Binance Free 100 $ (exkluzívne): Použite tento odkaz zaregistrovať sa a získať 100 $ zadarmo a 10 % zľavu na poplatky na Binance Futures prvý mesiac (podmienky).
Špeciálna ponuka PrimeXBT: Použite tento odkaz zaregistrujte sa a zadajte kód POTATO50, aby ste na svoje vklady dostali až 7,000 XNUMX $.
Zdroj: https://cryptopotato.com/openzeppelin-found-potential-15b-rugpull-in-convex-finance/