OpenZeppelin je otkrio da je nedavno otkrio ozbiljnu ranjivost u kodu protokola Convex Finance (CVX) DeFi koja bi dovela do povlačenja tepiha od 15 milijardi dolara ako bi se iskoristila. Rupu je otad zakrpao razvojni tim Convexa, prema objavi tima na blogu od 4. travnja 2022.
Convex Finance Rugpull napad osujećen
OpenZeppelin, blockchain sigurnosna tvrtka koja tvrdi da je standard za sigurne blockchain aplikacije, pružajući rješenja za izgradnju, automatizaciju i upravljanje decentraliziranim aplikacijama i još mnogo toga, otkrila je da je nedavno zakrpila grešku Convex Finance koja je mogla dovesti do povlačenja tepiha od 15 milijardi dolara .
Za one koji nisu svjesni, napad povlačenjem tepiha događa se kada kreator projekta decentraliziranog financiranja iznenada prenese ili ukrade cjelokupna sredstva u bazenima likvidnosti platforme i odustane od projekta, na štetu ulagača.
Prema objavi na blogu tima OpenZeppelin, ranjivost u pametnim ugovorima Convex Finance otkrivena je tijekom vježbe revizije sigurnosti za Coinbase kripto razmjenu u prosincu 2021.
Convex Finance je DeFi platforma koja povećava nagrade za Curve (CRV) stekere i pružatelje likvidnosti. Pokrenut od strane anonimnog programera u svibnju 2021., Convex Finance je narastao i postao značajan projekt u ekosustavu Curve, s ukupno zaključanom vrijednošću od 15 milijardi dolara (TVL) u to vrijeme.
Budući da Convex Finance drži većinu CRV stabilnih kovanica Curve Financea u optjecaju, povlačenje prostirke imalo bi razoran učinak na članove oba ekosustava.
OpenZeppelin je napisao:
“Kao dio revizije, tim za sigurnosna istraživanja otkrio je ranjivost koja bi, ako bi je iskoristila dva od tri anonimna potpisnika novčanika s više potpisa (multisig), dala Convexu multisig izravnu kontrolu nad zaključanom vrijednošću Convexa – tada otprilike 15 milijardi dolara. U konveksnoj dokumentaciji izričito je navedeno da takva kontrola nije moguća.”
Dilema
Iako je tim jasno dao do znanja da je greška otad ispravljena, ipak napominje da je činjenica da su ranjivost mogli iskoristiti ili zakrpiti samo anonimni programeri zaduženi za protokol učinila proces otkrivanja herkulskim zadatkom.
“Dinamika kontaktiranja anonimnih timova o problemima može biti složena. U mnogim slučajevima, ranjivost u softveru otvorenog koda može iskoristiti svatko tko je pronađe. U ovom specifičnom slučaju, međutim, ranjivost bi mogla biti iskorištena (ili zakrpljena) samo od strane Convexovih anonimnih programera,” otkrio je OpenZeppelin.
Tim kaže da je procijenio nekoliko opcija kako otkriti sigurnosni propust Convexu, iako je vjerovao da sigurnosna rupa nije namjerno stvorena, jer bi anonimni status razvojnog tima mogao omogućiti da se lako izvuku s napadom povlačenja tepiha ako su odlučili igrati prljavo.
OpenZeppelin kaže da je odlučio dodati tvrtku za bugove, Immunefi na sliku, koja će funkcionirati kao posrednik između nje i Convexa.
Na kraju su se obje strane složile da:
“Najbolji način djelovanja za ovu dilemu bio je uključivanje dodatnih javno poznatih strana u multisig, čineći povlačenje tepiha nemogućim. U ovom trenutku, tim za sigurnosna istraživanja započeo je otvorenu komunikaciju s Convexom, pružajući potpune pojedinosti o ranjivosti i metodu testiranja. Ubrzo nakon toga, Convex je zakrpio ranjivost”, naveo je tim.
U vrijeme tiska, Convex Finance (CVX) ima TVL od 14.41 milijardu dolara, prema Defi Llami, dok je cijena njegovog izvornog CVX tokena oko 36.57 dolara, kako se vidi na CoinMarketCap-u.
Izvor: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/