OpenZeppelin on paljastanut äskettäin paljastaneensa vakavan haavoittuvuuden Convex Financen (CVX) DeFi-protokollakoodissa, joka olisi johtanut 15 miljardin dollarin maton vetoon, jos sitä olisi käytetty hyväksi. Convex-kehitystiimi on sittemmin korjannut porsaanreiän tiimin 4. huhtikuuta 2022 julkaiseman blogikirjoituksen mukaan.
Kupera Finance Rugpull Attack hylätty
OpenZeppelin, lohkoketjun tietoturvayritys, joka väittää olevansa suojattujen lohkoketjusovellusten standardi, joka tarjoaa ratkaisuja hajautettujen sovellusten rakentamiseen, automatisoimiseen ja käyttämiseen ja paljon muuta, on paljastanut äskettäin korjanneensa Convex Finance -virheen, joka olisi voinut johtaa 15 miljardin dollarin maton vetämiseen. .
Niille, jotka eivät ole tietoisia, matto vetohyökkäys tapahtuu, kun hajautetun rahoitusprojektin luoja yhtäkkiä siirtää tai varastaa alustan likviditeettipoolissa olevat varat ja hylkää projektin sijoittajien vahingoksi.
OpenZeppelin-tiimin blogiviestin mukaan Convex Financen älykkäiden sopimusten haavoittuvuus löydettiin Coinbase kryptovaihdon tietoturvatarkastuksen aikana joulukuussa 2021.
Convex Finance on DeFi-alusta, joka lisää palkkioita Curve (CRV) -sijoittajille ja likviditeetin tarjoajille. Nimettömän kehittäjän toukokuussa 2021 lanseeraama Convex Finance on kasvanut merkittäväksi hankkeeksi Curve-ekosysteemissä, ja sen kokonaisarvo oli tuolloin lukittu (TVL) 15 miljardia dollaria.
Koska Convex Finance pitää suurimman osan Curve Financen CRV-stabiileista kolikoista liikkeessä, maton vetämisellä olisi ollut tuhoisa vaikutus molempien ekosysteemien jäseniin.
OpenZeppelin kirjoitti:
"Osa tarkastusta tietoturvatutkimustiimi paljasti haavoittuvuuden, jota jos kaksi kolmesta nimettömästä monen allekirjoituksen lompakkon (multisig) allekirjoittajasta olisi käyttänyt hyväkseen, Convex multisig olisi voinut hallita suoraan Convexin lukittua arvoa – noin 15 miljardia dollaria. Kuperassa dokumentaatiossa todettiin erityisesti, että tällainen valvonta ei ollut mahdollista."
Dilemma
Vaikka tiimi on tehnyt selväksi, että virhe on sittemmin korjattu, se huomauttaa kuitenkin, että se tosiasia, että vain protokollasta vastaavat nimettömät kehittäjät saattoivat hyödyntää tai korjata haavoittuvuutta, teki paljastamisprosessista hirvittävän tehtävän.
”Anonyymeihin ryhmiin ottaminen yhteyttä ongelmista voi olla monimutkaista. Monissa tapauksissa kuka tahansa, joka löytää sen, voi käyttää hyväkseen avoimen lähdekoodin ohjelmiston haavoittuvuutta. Tässä nimenomaisessa tapauksessa haavoittuvuutta voivat kuitenkin hyödyntää (tai korjata) vain Convexin nimettömät kehittäjät”, OpenZeppelin paljasti.
Tiimi sanoo punnineensa useita vaihtoehtoja tietoturvavirheen paljastamiseksi Convexille, vaikka se uskoi, että tietoturvareikää ei luotu tarkoituksella, koska kehittäjätiimin anonyymi tila voisi antaa heille mahdollisuuden päästä eroon helposti mattovetohyökkäyksestä. jos he päättävät leikkiä likaisesti.
OpenZeppelin kertoo päättäneensä lisätä kuvaan bugipalkkioyrityksen, Immunefin, toimimaan välittäjänä sen ja Convexin välillä.
Lopulta molemmat osapuolet sopivat, että:
"Paras tapa ratkaista tämä ongelma oli ottaa mukaan muita julkisesti tunnettuja osapuolia multisigiin, mikä teki maton vetämisen mahdottomaksi. Tässä vaiheessa tietoturvatutkimustiimi aloitti avoimen yhteydenpidon Convexin kanssa tarjoamalla täydelliset haavoittuvuustiedot ja testausmenetelmän. Pian tämän jälkeen Convex korjasi haavoittuvuuden", tiimi totesi.
Lehdistöhetkellä Convex Financen (CVX) TVL on Defi Llaman mukaan 14.41 miljardia dollaria, kun taas sen alkuperäisen CVX-tunnuksen hinta on noin 36.57 dollaria, kuten CoinMarketCapissa nähdään.
Lähde: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/