OpenZeppelin har avslöjat att man nyligen avslöjade en allvarlig sårbarhet i Convex Finance (CVX) DeFi-protokollkoden som skulle ha lett till en mattdragning på 15 miljarder dollar om den utnyttjats. Kryphålet har sedan dess åtgärdats av Convex utvecklingsteam, enligt ett blogginlägg den 4 april 2022 av teamet.
Convex Finance Rugpull Attack Foiled
OpenZeppelin, ett blockchain-säkerhetsföretag som påstår sig vara standarden för säkra blockchain-applikationer, som tillhandahåller lösningar för att bygga, automatisera och driva decentraliserade applikationer med mera, har avslöjat att det nyligen korrigerade en Convex Finance-bugg som kunde ha lett till en ruggning av 15 miljarder dollar .
För de som inte är medvetna om det sker en ruggningsattack när en skapare av decentraliserat finansprojekt plötsligt överför eller stjäl hela medlen i plattformens likviditetspooler och överger projektet, till nackdel för investerare.
Enligt ett blogginlägg av OpenZeppelin-teamet upptäcktes sårbarheten i de smarta kontrakten för Convex Finance under en säkerhetsrevisionsövning för Coinbase kryptoutbyte i december 2021.
Convex Finance är en DeFi-plattform som ökar belöningen för Curve (CRV)-aktörer och likviditetsleverantörer. Convex Finance, som lanserades av en anonym utvecklare i maj 2021, har vuxit till att bli ett anmärkningsvärt projekt i Curve-ekosystemet, med $15 miljarder i totalt värde låst (TVL) vid den tiden.
Eftersom Convex Finance har majoriteten av Curve Finances CRV stablecoins i omlopp, skulle en mattdragning ha haft en förödande effekt på medlemmarna i båda ekosystemen.
OpenZeppelin skrev:
"Som en del av granskningen avslöjade säkerhetsforskningsteamet en sårbarhet som, om den utnyttjats av två av tre anonyma multisignaturplånbok (multisig)-signerare, skulle ha gett Convex multisig direkt kontroll över Convex låsta värde - då cirka 15 miljarder dollar. Konvex dokumentation angav specifikt att sådan kontroll inte var möjlig."
The Dilemma
Även om teamet har gjort det klart att buggen sedan dess har åtgärdats, noterar det dock att det faktum att sårbarheten endast kunde utnyttjas eller korrigeras av de anonyma utvecklarna som ansvarade för protokollet gjorde avslöjningsprocessen till en svår uppgift.
"Dynamiken i att kontakta anonyma team om problem kan vara komplex. I många fall kan en sårbarhet i programvara med öppen källkod utnyttjas av alla som hittar den. I det här specifika fallet kunde dock sårbarheten endast utnyttjas (eller korrigeras) av Convex anonyma utvecklare”, avslöjade OpenZeppelin.
Teamet säger att det vägde flera alternativ för hur de skulle avslöja säkerhetsbristen för Convex, även om de trodde att säkerhetskryphålet inte skapades avsiktligt, eftersom utvecklarteamets anonyma status kunde låta dem komma undan med en mattangrepp lätt om de bestämde sig för att spela smutsigt.
OpenZeppelin säger att de bestämde sig för att lägga till ett bug-bounty-företag, Immunefi, till bilden, för att fungera som en mellanhand mellan det och Convex.
Till slut var båda parter överens om att:
"Den bästa tillvägagångssättet för detta dilemma var att införliva ytterligare offentligt kända parter i multisig, vilket gjorde en mattadragning omöjlig. Vid denna tidpunkt inledde säkerhetsforskningsteamet öppen kommunikation med Convex, vilket gav fullständiga sårbarhetsdetaljer och en testmetod. Kort därefter korrigerade Convex sårbarheten”, sa teamet.
Vid presstillfället har Convex Finance (CVX) en TVL på 14.41 miljarder dollar, enligt Defi Llama, medan priset på dess inhemska CVX-token ligger på runt 36.57 dollar, som sett på CoinMarketCap.
Källa: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/