OpenZeppelin löytää 15 miljardin dollarin matonvetohaavoittuvuuden Convex Financessa

Rutiininomaisesta tietoturvatarkastuksesta tuli mahdollinen painajainen Convex Financelle, kun OpenZeppelinin tietoturvatiimi löysi haavoittuvuuden Convex Finance -protokollan tietoturvatarkistuksen aikana. 

Virhe olisi, jos sitä olisi hyödynnetty, saattanut vaarantaa Convexin lukitun arvon, tuolloin 15 miljardia dollaria, antaen tutkijoille suoran hallinnan siihen. On mielenkiintoista huomata, että Convexin dokumentaatiossa oli todettu, että sen lukitun arvon valvonta ei olisi ollut mahdollista. Löytämisensä jälkeen Convex-tiimi on korjannut haavoittuvuuden nopeasti. 

Vian tiedot 

OpenZeppelin valaisi vian löytämisen ja myöhemmän korjauksen a blogi. Convex, yksi näkyvimmistä DeFi-protokollista, sisälsi merkittävän virheen, joka vaaransi 15 miljardia dollaria sen lukitusta arvosta. Protokolla sisältää suurimman osan Curve Financen CRV-tokeneista. Curve on johtava stablecoin-automaattinen markkinatakaaja, joka tarjoaa noin 1/10 hajautetun talouden likviditeetistä. 

OpenZeppelinin tietoturvatutkimustiimin löytämä bugi tarkoitti, että jos kaksi tai kolme Convexin multisig:n allekirjoittajaa suorittaa tietyn sarjan vaiheita, he saivat rajoittamattoman pääsyn Liquidity Provider -tunnuksiin, jotka on panostettu LP-tunnuksen ja kohdemittarin määrittämään kohderyhmään. 

Dokumentaatio Convexista osoitti, että tällaisen skenaarion ei pitäisi olla mahdollista, mutta on sittemmin päivitetty. Tämä teki resoluutiosta hieman hankalan. Haavoittuvuus kuitenkin korjattiin 14. joulukuuta 2021. Saat lisätietoja siitä, kuinka bugia olisi voitu hyödyntää tätä.

Tietojen paljastamisen komplikaatiot 

Mainitsimme, että virheen paljastaminen oli OpenZeppelinin tiimille hieman hankalaa. Ymmärrämme miksi. Asiasta tulee hieman monimutkainen, jos tiimi löytää protokollahaavoittuvuuden, jota vain kyseisen protokollan kehittäjätiimi voi hyödyntää tai korjata. Tämä haavoittuvuus tarjoaa ihanteellisen ikkunan sille, kuinka väärin kohdistetut kannustimet ja epätäydellinen tilannetieto voivat johtaa hankaluuksiin haavoittuvuuksien paljastamisessa. Curven tapauksessa vain Convexin nimettömät kehittäjät voivat hyödyntää haavoittuvuutta. 

OpenZeppelin oli varma, että Convexin haavoittuvuus oli tahaton, mutta he eivät voineet olla varmoja. Toinen monimutkainen kerros oli, että vaikka Convex-tiimi ei ollut tietoinen virheestä, paljastaminen loi Convexin kehittäjille kannustimen toimia haitallisesti, ja 15 miljardia dollaria oli varattuna. Vaikka OpenZeppelin oli halukas antamaan epäilyksen hyödyn Convex-kehittäjille, seuraukset olivat merkittäviä, jos se osoittautui vääräksi. 

Tie eteenpäin paljastamisen kanssa 

OpenZeppelinin huolenaiheet voitaisiin hälventää, jos Convex paljastaisi kehittäjien henkilöllisyyden. Tämä voi kuitenkin johtaa turvallisuusongelmiin Convexin lopussa, jolloin kehittäjät menettävät nimettömyytensä. OpenZeppelinin joukkueella jäi näin ollen kolme tietä eteenpäin. 

• Haavoittuvuuden yksityiskohtien paljastaminen Convexille – Tämä sisälsi jonkin verran riskiä, ​​sillä jos haavoittuvuus oli tahallinen, paljastaminen olisi saanut kehittäjät toteuttamaan suunnittelemansa mattovedon. 
• Paljasta haavoittuvuus yhteisölle - Vaikka haavoittuvuuden paljastamisen puolesta puhuttiin jonkin verran, OpenZeppelin katsoi, että tämä toimintatapa olisi ollut vastuutonta. Tästä toiminnasta olisi voinut syntyä kaksi mahdollista skenaariota. Jos haavoittuvuus olisi paljastettu ja se oli tahallinen, kehittäjät olisivat toteuttaneet maton vetämisensä. Jos se olisi kuitenkin tahatonta, se olisi aiheuttanut huomattavaa haittaa Convexin maineelle. 
• Hanki takeet siitä, että Convex-tiimi ei hyödynnä haavoittuvuutta ja paljastaa sitten OpenZeppelin omaksui tämän lähestymistavan, kun tiimi tavoitti bug bounty -kumppanin Immunefin välittäjänä Convexin ja OpenZeppelinin välillä. 

Julkisesti tunnettujen henkilöiden lisääminen kuperaan Multisig 

Julkisesti tunnettujen osallistujien lisääminen Convex multisig -ohjelmaan oli avainasemassa riskin vähentämisessä. OpenZeppelinin tietoturvatiimi ja Convexin nimettömät kehittäjät olivat yhtä mieltä siitä, että julkisesti tunnettujen osapuolten lisääminen multisigiin oli paras tapa toimia, mikä teki matonvedon toteuttamisen mahdottomaksi. Kun OpenZeppelinin ja Convexin välinen kommunikaatio perustettiin, jälkimmäinen paikattu haavoittuvuus. 

Vastuuvapauslauseke: Tämä artikkeli on tarkoitettu vain tiedoksi. Sitä ei tarjota eikä ole tarkoitettu käytettäväksi laki-, vero-, sijoitus-, rahoitus- tai muuna neuvona.