OpenZeppelin heeft onthuld dat het onlangs een ernstige kwetsbaarheid in de Convex Finance (CVX) DeFi-protocolcode heeft ontdekt die bij misbruik zou hebben geleid tot een rug pull van $ 15 miljard. De maas in de wet is sindsdien gedicht door het Convex-ontwikkelingsteam, volgens een blogpost van 4 april 2022 van het team.
Convexe financiële Rugpull-aanval verijdeld
OpenZeppelin, een blockchain-beveiligingsbedrijf dat beweert de standaard te zijn voor veilige blockchain-applicaties en oplossingen biedt voor het bouwen, automatiseren en exploiteren van gedecentraliseerde applicaties en meer, heeft onthuld dat het onlangs een Convex Finance-bug heeft gepatcht die had kunnen leiden tot een rug pull van $15 miljard. .
Voor degenen die het niet weten: een rug pull-aanval vindt plaats wanneer een maker van gedecentraliseerde financiële projecten plotseling het volledige geld in de liquiditeitspools van het platform overdraagt of steelt en het project verlaat, ten nadele van investeerders.
Volgens een blogpost van het OpenZeppelin-team werd de kwetsbaarheid in de slimme contracten van Convex Finance ontdekt tijdens een beveiligingsaudit voor de crypto-uitwisseling Coinbase in december 2021.
Convex Finance is een DeFi-platform dat de beloningen voor Curve (CRV) stakers en liquiditeitsverschaffers verhoogt. Convex Finance, gelanceerd door een anonieme ontwikkelaar in mei 2021, is uitgegroeid tot een opmerkelijk project in het Curve-ecosysteem, met destijds $ 15 miljard aan totale waarde vergrendeld (TVL).
Aangezien Convex Finance het merendeel van de CRV-stablecoins van Curve Finance in omloop heeft, zou een 'rug pull' een verwoestend effect hebben gehad op de leden van beide ecosystemen.
OpenZeppelin schreef:
“Als onderdeel van de audit heeft het Security Research Team een kwetsbaarheid ontdekt die, indien misbruikt door twee van de drie anonieme multi-signature wallet (multisig) ondertekenaars, de Convex multisig directe controle zou hebben gegeven over de vergrendelde waarde van Convex – destijds ongeveer $15 miljard. Convexe documentatie vermeldde specifiek dat een dergelijke controle niet mogelijk was.”
The Dilemma
Hoewel het team duidelijk heeft gemaakt dat de bug inmiddels is verholpen, merkt het team op dat het feit dat de kwetsbaarheid alleen kon worden uitgebuit of gepatcht door de anonieme ontwikkelaars die verantwoordelijk waren voor het protocol, het openbaarmakingsproces tot een enorme klus maakte.
“De dynamiek van het contacteren van anonieme teams over problemen kan complex zijn. In veel gevallen kan een kwetsbaarheid in open-sourcesoftware worden misbruikt door iedereen die deze vindt. In dit specifieke geval kon de kwetsbaarheid echter alleen worden uitgebuit (of gepatcht) door de anonieme ontwikkelaars van Convex”, onthulde OpenZeppelin.
Het team zegt dat het verschillende opties heeft afgewogen om de beveiligingsfout aan Convex bekend te maken, ook al was het van mening dat de maas in de beveiliging niet opzettelijk was gecreëerd, omdat de anonieme status van het ontwikkelteam ervoor zou kunnen zorgen dat ze gemakkelijk weg konden komen met een rug pull-aanval. als ze besloten vies te spelen.
OpenZeppelin zegt dat het heeft besloten om een bugbounty-bedrijf, Immunefi, aan het plaatje toe te voegen, om als tussenpersoon tussen het bedrijf en Convex te fungeren.
Uiteindelijk waren beide partijen het erover eens dat:
“De beste manier om dit dilemma aan te pakken was om extra publiek bekende partijen bij de multisig op te nemen, waardoor het trekken van een tapijt onmogelijk werd. Op dit punt begon het Security Research Team open te communiceren met Convex, waarbij volledige details over de kwetsbaarheid en een testmethode werden verstrekt. Kort daarna heeft Convex de kwetsbaarheid gepatcht”, aldus het team.
Op het moment van schrijven heeft Convex Finance (CVX) volgens Defi Llama een TVL van $14.41 miljard, terwijl de prijs van zijn oorspronkelijke CVX-token rond de $36.57 ligt, zoals te zien op CoinMarketCap.
Bron: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/