„OpenZeppelin“ atskleidė, kad neseniai atskleidė didelį „Convex Finance“ (CVX) DeFi protokolo kodo pažeidžiamumą, dėl kurio būtų išnaudota 15 milijardų dolerių. Remiantis 4 m. balandžio 2022 d. komandos tinklaraščio įrašu, „Convex“ kūrėjų komanda nuo to laiko spragą ištaisė.
Konvex Finance Rugpull Attack Sužlugdytas
„OpenZeppelin“, „blockchain“ saugos įmonė, kuri teigia esanti saugių „blockchain“ programų standartas, teikianti sprendimus decentralizuotoms programoms kurti, automatizuoti ir valdyti bei dar daugiau, atskleidė, kad neseniai ištaisė „Convex Finance“ klaidą, dėl kurios galėjo būti ištraukta 15 mlrd. .
Tiems, kurie nežino, „rug pull pull“ ataka įvyksta, kai decentralizuoto finansavimo projekto kūrėjas staiga perveda arba pavagia visas platformos likvidumo fonduose esančias lėšas ir atsisako projekto, taip kenkdamas investuotojams.
Remiantis „OpenZeppelin“ komandos tinklaraščio įrašu, „Convex Finance“ išmaniųjų sutarčių pažeidžiamumas buvo aptiktas per „Coinbase“ kriptovaliutų mainų saugumo auditą 2021 m. gruodžio mėn.
„Convex Finance“ yra „DeFi“ platforma, kuri padidina atlygį „Curve“ (CRV) dalyviams ir likvidumo tiekėjams. 2021 m. gegužę anoniminio kūrėjo pradėtas „Convex Finance“ išaugo ir tapo reikšmingu projektu „Curve“ ekosistemoje, kurio bendra vertė tuo metu buvo užblokuota (TVL) 15 mlrd.
Kadangi „Convex Finance“ apyvartoje laiko didžiąją dalį Curve Finance CRV stabilių monetų, kilimėlio traukimas būtų turėjęs niokojantį poveikį abiejų ekosistemų nariams.
OpenZeppelin rašė:
„Audito metu Saugumo tyrimų komanda atskleidė pažeidžiamumą, kurį pasinaudojus dviem iš trijų anoniminių kelių parašų piniginės (multisig) pasirašiusiųjų, Convex multisig būtų suteikęs tiesioginę Convex užrakintos vertės kontrolę – tada maždaug 15 mlrd. Išgaubtuose dokumentuose konkrečiai nurodyta, kad tokia kontrolė neįmanoma.
Dilema
Nors komanda aiškiai nurodė, kad nuo to laiko klaida buvo ištaisyta, tačiau ji pažymi, kad dėl to, kad pažeidžiamumu galėjo pasinaudoti arba jį pataisyti galėjo tik anoniminiai už protokolą atsakingi kūrėjai, atskleidimo procesas tapo neįtikėtina užduotimi.
„Susisiekimo su anoniminėmis komandomis dėl problemų dinamika gali būti sudėtinga. Daugeliu atvejų atvirojo kodo programinės įrangos pažeidžiamumu gali pasinaudoti kiekvienas, kuris ją randa. Tačiau šiuo konkrečiu atveju pažeidžiamumu galėjo pasinaudoti (arba pataisyti) tik anoniminiai „Convex“ kūrėjai“, – atskleidė „OpenZeppelin“.
Komanda teigia, kad apsvarstė keletą variantų, kaip atskleisti „Convex“ saugos trūkumą, nors ji manė, kad saugumo spraga nebuvo sukurta tyčia, nes anoniminė kūrėjų komandos būsena gali leisti jiems lengvai išsisukti nuo kilimo atakos. jei jie nuspręstų žaisti nešvariai.
„OpenZeppelin“ teigia, kad nusprendė į paveikslėlį įtraukti klaidų kompensavimo įmonę „Immunefi“, kuri veiktų kaip tarpininkas tarp jos ir „Convex“.
Galiausiai abi šalys susitarė, kad:
„Geriausias būdas išspręsti šią dilemą buvo įtraukti į multisig papildomas viešai žinomas partijas, todėl kilimas taptų neįmanomas. Šiuo metu saugumo tyrimų komanda pradėjo atvirą ryšį su „Convex“, pateikdama išsamią pažeidžiamumo informaciją ir testavimo metodą. Netrukus po to „Convex“ pataisė pažeidžiamumą“, – teigė komanda.
Remiantis „Defi Llama“, spaudos metu „Convex Finance“ (CVX) TVL yra 14.41 mlrd.
Šaltinis: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/