Η OpenZeppelin αποκάλυψε ότι πρόσφατα αποκάλυψε μια σοβαρή ευπάθεια στον κώδικα του πρωτοκόλλου Convex Finance (CVX) DeFi, η οποία θα είχε οδηγήσει σε απώλειες 15 δισεκατομμυρίων δολαρίων εάν εκμεταλλευόταν. Το παραθυράκι έκτοτε διορθώθηκε από την ομάδα ανάπτυξης Convex, σύμφωνα με μια ανάρτηση ιστολογίου της 4ης Απριλίου 2022 από την ομάδα.
Απέτρεψε την επίθεση Rugpull Convex Finance
Η OpenZeppelin, μια εταιρεία ασφάλειας blockchain που ισχυρίζεται ότι είναι το πρότυπο για ασφαλείς εφαρμογές blockchain, παρέχοντας λύσεις για την κατασκευή, την αυτοματοποίηση και τη λειτουργία αποκεντρωμένων εφαρμογών και πολλά άλλα, αποκάλυψε ότι πρόσφατα επιδιορθώθηκε ένα σφάλμα Convex Finance που θα μπορούσε να είχε οδηγήσει σε 15 δισεκατομμύρια δολάρια. .
Για όσους δεν το γνωρίζουν, μια επίθεση έλξης με τα κουβέρτα συμβαίνει όταν ένας δημιουργός αποκεντρωμένου έργου χρηματοδότησης μεταφέρει ή κλέβει ξαφνικά όλα τα κεφάλαια στις δεξαμενές ρευστότητας της πλατφόρμας και εγκαταλείπει το έργο, εις βάρος των επενδυτών.
Σύμφωνα με μια ανάρτηση ιστολογίου από την ομάδα OpenZeppelin, η ευπάθεια στα έξυπνα συμβόλαια Convex Finance ανακαλύφθηκε κατά τη διάρκεια άσκησης ελέγχου ασφαλείας για την ανταλλαγή κρυπτογράφησης Coinbase τον Δεκέμβριο του 2021.
Το Convex Finance είναι μια πλατφόρμα DeFi που ενισχύει τις ανταμοιβές για τους συμμετέχοντες στο Curve (CRV) και τους παρόχους ρευστότητας. Το Convex Finance, το οποίο ξεκίνησε από έναν ανώνυμο προγραμματιστή τον Μάιο του 2021, έχει εξελιχθεί σε ένα αξιοσημείωτο έργο στο οικοσύστημα Curve, με 15 δισεκατομμύρια δολάρια σε συνολική αξία κλειδωμένη (TVL) εκείνη την εποχή.
Δεδομένου ότι η Convex Finance κατέχει την πλειονότητα των σταθερών νομισμάτων CRV της Curve Finance σε κυκλοφορία, ένα τράβηγμα του χαλιού θα είχε καταστροφικές επιπτώσεις στα μέλη και των δύο οικοσυστημάτων.
Το OpenZeppelin έγραψε:
«Στο πλαίσιο του ελέγχου, η Ομάδα Έρευνας Ασφαλείας αποκάλυψε μια ευπάθεια που, εάν εκμεταλλευόταν δύο από τους τρεις ανώνυμους υπογράφοντες πορτοφολιών πολλαπλών υπογραφών (multisig), θα έδινε στο Convex multisig άμεσο έλεγχο της κλειδωμένης αξίας του Convex – τότε περίπου 15 δισεκατομμύρια δολάρια. Η κυρτή τεκμηρίωση ανέφερε συγκεκριμένα ότι τέτοιος έλεγχος δεν ήταν δυνατός».
Το δίλημμα
Αν και η ομάδα έχει καταστήσει σαφές ότι το σφάλμα έχει επιδιορθωθεί έκτοτε, σημειώνει ωστόσο ότι το γεγονός ότι η ευπάθεια θα μπορούσε να εκμεταλλευτεί ή να διορθωθεί μόνο από τους ανώνυμους προγραμματιστές που ήταν υπεύθυνοι για το πρωτόκολλο έκανε τη διαδικασία αποκάλυψης μια ηράκλεια εργασία.
«Η δυναμική της επικοινωνίας με ανώνυμες ομάδες για θέματα μπορεί να είναι περίπλοκη. Σε πολλές περιπτώσεις, μια ευπάθεια σε λογισμικό ανοιχτού κώδικα μπορεί να γίνει αντικείμενο εκμετάλλευσης από οποιονδήποτε τη βρει. Σε αυτή τη συγκεκριμένη περίπτωση, ωστόσο, η ευπάθεια θα μπορούσε να εκμεταλλευτεί (ή να διορθωθεί) μόνο από ανώνυμους προγραμματιστές του Convex», αποκάλυψε το OpenZeppelin.
Η ομάδα λέει ότι στάθμισε πολλές επιλογές ως προς το πώς να αποκαλύψει το ελάττωμα ασφαλείας στο Convex, παρόλο που πίστευε ότι το κενό ασφαλείας δεν δημιουργήθηκε σκόπιμα, καθώς η ανώνυμη κατάσταση της ομάδας προγραμματιστών θα μπορούσε να τους αφήσει να ξεφύγουν εύκολα από μια επίθεση με τάπητα. αν αποφάσιζαν να παίξουν βρώμικα.
Η OpenZeppelin λέει ότι αποφάσισε να προσθέσει μια εταιρεία bounty bug, την Immunefi στην εικόνα, για να λειτουργεί ως ενδιάμεσος μεταξύ αυτής και της Convex.
Στο τέλος, οι δύο πλευρές συμφώνησαν ότι:
«Ο καλύτερος τρόπος δράσης σε αυτό το δίλημμα ήταν η ενσωμάτωση πρόσθετων δημοσίως γνωστών κομμάτων στο multisig, καθιστώντας αδύνατο το χάλι. Σε αυτό το σημείο, η Ομάδα Έρευνας Ασφαλείας ξεκίνησε ανοιχτή επικοινωνία με την Convex, παρέχοντας πλήρεις λεπτομέρειες ευπάθειας και μια μέθοδο δοκιμής. Λίγο αργότερα, το Convex επιδιορθώνει την ευπάθεια», δήλωσε η ομάδα.
Την ώρα του Τύπου, η Convex Finance (CVX) έχει TVL 14.41 δισεκατομμυρίων δολαρίων, σύμφωνα με τον Defi Llama, ενώ η τιμή του εγγενούς διακριτικού CVX της είναι περίπου 36.57 δολάρια, όπως φαίνεται στο CoinMarketCap.
Πηγή: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/