Coinbasen tietoturvatarkastusyritys OpenZeppelin tunnisti 15 miljardin dollarin rugpull-haavoittuvuuksia Convex Financessa, jonka nimettömät kehittäjät ratkaisivat myöhemmin riskin. Yllättävä löytö tapahtui Convex Finance -protokollan tietoturvatarkistuksen aikana.
Bugi, jota voidaan hyödyntää vain sisältä
OpenZeppelinin tietoturvatutkimusryhmä havaitsi vuoden 2021 lopulla, että protokollan merkittävä virhe olisi voinut johtaa 15 miljardin dollarin arvoisen lukitun omaisuuden vaarantumiseen. Tutkimus paljasti, että "jos kaksi kolmesta Convex multisigin allekirjoittajasta suorittaisivat tietyn sarjan vaiheita, käyttäjät voisivat päästä käsiksi kaikkiin kohdepooliin panostettuihin LP-tokeneihin ja siten suorittaa rugpull -pelin, joka varastaa poolin kaikki varat. .”
Dokumentointi Convex totesi tuolloin, että tällainen katastrofi sen LP-poolille ei olisi mahdollinen. Tietoturvatiimi kuitenkin tunnisti myöhemmin tapoja hyödyntää haavoittuvuuksia – onneksi Convex korjasi ne 14. joulukuuta 2021.
Convex Finance on avoimen lähdekoodin protokolla, jonka kehittäjät ovat pysyneet nimettöminä sen julkaisusta lähtien. Tässä tapauksessa as ilmoitettu OpenZeppelinin mukaan vain Convex Financen kehittäjät voivat todella hyödyntää haavoittuvuuksia. Tapauksen paljastamisesta tuli erityisen monimutkainen nimettömyyden luonteen vuoksi.
Tietojen paljastamisen komplikaatiot
Analysoituaan koodin ja Convexin vaatimat ponnistelut haavoittuvuuksien hyödyntämiseksi OpenZeppelin väitti, että haavoittuvuus oli tahaton ja että Convexin kehittäjät ovat vilpittömiä toimijoita.
"Julkinen paljastaminen olisi luonut kieroutuneen kannustimen Convexin kehittäjille" ja vaikuttanut Convex-tiimille ratkaisevan tärkeän nimettömyyden menettämiseen. Sellaisenaan OpenZeppelin päätti "ottaa yhteyttä bugipalkkiokumppani Immunefiin saadakseen esittelyn OpenZeppelinin ja Convexin välisestä välittäjästä".
Kun molemmat osapuolet sopivat kutsuvansa julkisesti tunnettuja tahoja multisig-palveluun, mikä teki rugpullin mahdottomaksi, OpenZeppelin paljasti virheen Convexille sillä perusteella, että tiimillä oli vakuutus siitä, ettei haavoittuvuuksia hyödynnetä. Convex korjasi ongelman pian sen jälkeen ja lopetti siten rugpullin riskin, jonka arvo olisi ollut 15 miljardia dollaria.
Binance ilmaiseksi 100 dollaria (yksinomainen): Käytä tätä linkkiä rekisteröityäksesi ja saada 100 dollaria ilmaiseksi ja 10 % alennuksen maksuista Binance Futuresissa ensimmäisen kuukauden aikana (ehdot).
PrimeXBT-erikoistarjous: Käytä tätä linkkiä rekisteröidy ja syötä POTATO50-koodi saadaksesi jopa 7,000 XNUMX dollaria talletuksillesi.
Lähde: https://cryptopotato.com/openzeppelin-found-potential-15b-rugpull-in-convex-finance/