Кампанія OpenZeppelin выявіла, што нядаўна выявіла сур'ёзную ўразлівасць у кодзе пратакола DeFi Convex Finance (CVX), якая ў выпадку выкарыстання прывяла б да страт на 15 мільярдаў долараў. Згодна з паведамленнем у блогу каманды ад 4 красавіка 2022 г., гэтая шчыліна была ліквідавана камандай распрацоўшчыкаў Convex.
Convex Finance Rugpull Attack сарваны
OpenZeppelin, фірма па бяспецы блокчейнов, якая прэтэндуе на тое, каб быць стандартам для бяспечных блокчейн-прыкладанняў, забяспечваючы рашэнні для стварэння, аўтаматызацыі і эксплуатацыі дэцэнтралізаваных прыкладанняў і многае іншае, паказала, што нядаўна выправіла памылку Convex Finance, якая магла прывесці да страт на 15 мільярдаў долараў .
Для тых, хто не ведае, атака на дыван адбываецца, калі стваральнік дэцэнтралізаванага фінансавага праекта раптам пераводзіць або крадзе ўсе сродкі ў пулах ліквіднасці платформы і адмаўляецца ад праекта на шкоду інвестарам.
Згодна з паведамленнем у блогу каманды OpenZeppelin, уразлівасць у смарт-кантрактах Convex Finance была выяўлена падчас аўдыту бяспекі крыптабіржы Coinbase у снежні 2021 года.
Convex Finance - гэта платформа DeFi, якая павялічвае ўзнагароды для стейкераў Curve (CRV) і пастаўшчыкоў ліквіднасці. Convex Finance, запушчаны ананімным распрацоўшчыкам у маі 2021 года, вырас і стаў прыкметным праектам у экасістэме Curve з агульным заблакіраваным коштам (TVL) у 15 мільярдаў долараў.
Паколькі Convex Finance трымае ў звароце большасць стейблкоинов CRV Curve Finance, выцягванне дывана мела б разбуральны эфект для членаў абедзвюх экасістэм.
OpenZeppelin напісаў:
«У рамках аўдыту Група даследаванняў бяспекі выявіла ўразлівасць, якая, калі б яе выкарысталі два з трох ананімных падпісчыкаў кашалька з некалькімі подпісамі (multisig), дала б Convex multisig прамы кантроль над заблакіраваным коштам Convex — тады прыкладна 15 мільярдаў долараў. У дакументацыі Convex канкрэтна сказана, што такі кантроль немагчымы».
Дылема
Нягледзячы на тое, што каманда дала зразумець, што з тых часоў памылка была выпраўлена, яна, аднак, адзначае, што той факт, што ўразлівасць можа быць выкарыстана або выпраўлена толькі ананімнымі распрацоўшчыкамі, якія адказваюць за пратакол, зрабіў працэс раскрыцця геркулесавай задачай.
«Дынаміка звароту да ананімных каманд па праблемах можа быць складанай. У многіх выпадках уразлівасць праграмнага забеспячэння з адкрытым зыходным кодам можа быць выкарыстана кожным, хто яе знойдзе. Аднак у гэтым канкрэтным выпадку ўразлівасць можа быць выкарыстана (або выпраўлена) толькі ананімнымі распрацоўшчыкамі Convex», — паказалі ў OpenZeppelin.
Каманда кажа, што ўзважыла некалькі варыянтаў таго, як раскрыць недахоп бяспекі Convex, нават калі лічыла, што шчыліна ў бяспецы не была створана наўмысна, бо ананімны статус каманды распрацоўшчыкаў мог дазволіць ім лёгка сысці з рук у выніку атакі на дыван калі яны вырашылі гуляць брудна.
OpenZeppelin заяўляе, што вырашыў дадаць да карціны фірму, якая ўзнагароджвае памылак, Immunefi, каб выступаць у якасці пасярэдніка паміж ёй і Convex.
У рэшце рэшт, абодва бакі пагадзіліся, што:
«Лепшым варыянтам дзеянняў у гэтай дылеме было ўключэнне дадатковых агульнавядомых удзельнікаў у multisig, што зрабіла б немагчымым перацягванне дывана. У гэты момант каманда даследаванняў бяспекі пачала адкрытае зносіны з Convex, падаючы поўную інфармацыю аб уразлівасцях і метад тэставання. Неўзабаве пасля гэтага Convex выправіла ўразлівасць», — заявіла каманда.
На момант прэсы Convex Finance (CVX) мае TVL у 14.41 мільярда долараў, паводле звестак Defi Llama, у той час як цана яго ўласнага токена CVX складае каля 36.57 долараў, як відаць на CoinMarketCap.
Крыніца: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/