- Turvatarkastusyritys OpenZepplin havaitsi Convex Financessa mahdollisen maton vedon, joka olisi voinut johtaa 15 miljardin dollarin tappioon.
- Jos kaksi Convex multisig:n kolmesta allekirjoittajasta toteuttaisi tietyn sarjan vaiheita, tutkimuksessa kävi ilmi, että käyttäjät voivat käyttää kaikkia LP-tunnuksia.
- Convex-tiimi korjasi myöhemmin mahdollisen virheen.
Turvatarkastusyritys Crypto Exchange Coinbase on korostanut matto pullon haavoittuvuuksia 15 miljardin dollarin arvosta Convex Financessa, jonka nimettömät kehittäjät pitivät riskeistä myöhemmin huolta. Tämä selvisi Convex Finance Protocolin turvallisuuskatsauksen aikana.
OpenZepplinin tietoturvatutkimusryhmä havaitsi viime vuoden lopulla, että protokollan huomattava bugi saattoi johtaa 15 miljardin dollarin arvoiseen lukittuun omaisuuteen, joka oli alttiina riskeille. Lisäksi heidän havainnot paljastivat, että jos kaksi Convex multisig:n kolmesta allekirjoittajasta toteuttaisi tietyn vaihesarjan, käyttäjät voisivat käyttää kaikkia kohdepooliin panostettuja LP-tokeneita. Jatka matonvetoa, varastamalla kaikki omaisuus altaalta.
Convex Financen dokumentaatiossa kuitenkin korostettiin, että tällainen LP-pooliin liittyvä virhe ei olisi mahdollinen. Mutta tietoturvatiimi löysi tapoja hyödyntää haavoittuvuuksia myöhemmin, ja Convex hoiti ne sitten joulukuun puolivälissä.
Ainoastaan nimettömät kehittäjät saattoivat hyödyntää haavoittuvuutta
Convex Finance on avoimen lähdekoodin protokolla, ja sen kehittäjät ovat toistaiseksi päättäneet pysyä nimettöminä. Turvatarkastusyritys ilmoitti, että vain Convex Financen kehittäjät voivat hyödyntää haavoittuvuuksia. Haavoittuvuuksien paljastamisesta tuli hieman monimutkainen kehittäjien anonymiteetin vuoksi.
Se korosti lisäksi, että haavoittuvuutta ei ollut todella tarkoitettu ja että kehittäjät ovat vilpittömiä toimijoita analysoituaan Convexin tarvitseman mainoskoodin ponnisteluja näiden haavoittuvuuksien hyödyntämiseen.
OpenZepplinin mukaan julkistaminen olisi luonut kieroutuneen kannustimen Convex Financen kehittäjille ja myötävaikuttanut Convex-tiimille välttämättömän nimettömyyden menettämiseen.
Turvatarkastusyritys paljasti mahdollisen virheen Convexille sillä perusteella, että tiimi vakuutti heille, etteivät he käytä niitä hyväkseen. Tämän jälkeen Convex korjasi mahdollisen maton veto-ongelman.
- Crypto teollisuus ei ole vapaa tällaisista petoksista. Turvallisuusongelmat ovat väistämättömiä, ja mahdolliset maton vetäykset ryömivät joka tapauksessa tilan yli. Yksi asia, jonka voimme tehdä, on tunnistaa uhka ja poistaa se ennen tappiota, kuten Convex-tiimi teki.
Lähde: https://www.thecoinrepublic.com/2022/04/07/convex-finance-potential-rugpull-discovered-by-openzepplin-might-have-costed-15b/