Inihayag ng OpenZeppelin na kamakailan ay natuklasan nito ang isang matinding kahinaan sa Convex Finance (CVX) DeFi protocol code na hahantong sa $15 bilyong rug pull kung pinagsamantalahan. Ang loophole ay na-patched na ng Convex development team, ayon sa isang post sa blog noong Abril 4, 2022 ng team.
Convex Finance Rugpull Attack Foiled
Ang OpenZeppelin, isang blockchain security firm na sinasabing ang pamantayan para sa mga secure na blockchain application, na nagbibigay ng mga solusyon sa pagbuo, pag-automate at pagpapatakbo ng mga desentralisadong aplikasyon at higit pa, ay nagsiwalat na kamakailan ay nag-patch ito ng isang Convex Finance bug na maaaring humantong sa isang $15 bilyong rug pull .
Para sa mga hindi nakakaalam, ang isang rug pull attack ay nangyayari kapag ang isang desentralisadong gumagawa ng proyekto sa pananalapi ay biglang inilipat o ninakaw ang buong pondo sa mga liquidity pool ng platform at inabandona ang proyekto, sa kapinsalaan ng mga namumuhunan.
Sa bawat post sa blog ng OpenZeppelin team, natuklasan ang kahinaan sa mga smart contract ng Convex Finance sa panahon ng isang security audit exercise para sa Coinbase crypto exchange noong Disyembre 2021.
Ang Convex Finance ay isang DeFi platform na nagpapalaki ng mga reward para sa Curve (CRV) stakers at liquidity provider. Inilunsad ng isang hindi kilalang developer noong Mayo 2021, ang Convex Finance ay lumago upang maging isang kapansin-pansing proyekto sa Curve ecosystem, na may $15 bilyon sa kabuuang value locked (TVL) sa panahong iyon.
Dahil hawak ng Convex Finance ang karamihan sa mga CRV stablecoin ng Curve Finance sa sirkulasyon, ang isang rug pull ay magkakaroon ng mapangwasak na epekto sa mga miyembro ng parehong ecosystem.
Sumulat si OpenZeppelin:
“Bilang bahagi ng pag-audit, natuklasan ng Security Research Team ang isang kahinaan na, kung pinagsamantalahan ng dalawa sa tatlong hindi kilalang multi-signature wallet (multisig) signer, ay magbibigay sa Convex multisig ng direktang kontrol sa naka-lock na halaga ng Convex – pagkatapos ay humigit-kumulang $15 bilyon. Ang dokumentasyon ng convex ay partikular na nagsasaad na ang gayong kontrol ay hindi posible."
Ang problema
Bagama't nilinaw ng team na ang bug ay naayos na, gayunpaman, itinala nito na ang katotohanan na ang kahinaan ay maaari lamang pagsamantalahan o ma-patch ng mga hindi kilalang dev na namamahala sa protocol na ginawa ang proseso ng pagsisiwalat na isang napakahirap na gawain.
"Ang dinamika ng pakikipag-ugnay sa mga hindi kilalang koponan tungkol sa mga isyu ay maaaring maging kumplikado. Sa maraming kaso, ang isang kahinaan sa open-source na software ay maaaring samantalahin ng sinumang makakahanap nito. Sa partikular na pagkakataong ito, gayunpaman, ang kahinaan ay maaari lamang mapakinabangan (o ma-patch) ng mga hindi nakikilalang developer ng Convex," isiniwalat ng OpenZeppelin.
Sinabi ng team na tinitimbang nito ang ilang mga opsyon kung paano ibunyag ang depekto sa seguridad sa Convex, kahit na naniniwala itong hindi sinasadyang ginawa ang butas ng seguridad, dahil ang hindi kilalang katayuan ng dev team ay maaaring hayaan silang makatakas sa isang rug pull attack nang madali. kung nagpasya silang maglaro ng dirty.
Sinabi ng OpenZeppelin na nagpasya itong magdagdag ng isang bug bounty firm, Immunefi sa larawan, upang gumana bilang isang tagapamagitan sa pagitan nito at ng Convex.
Sa huli, ang magkabilang panig ay sumang-ayon na:
"Ang pinakamahusay na paraan ng pagkilos sa problemang ito ay ang pagsama ng mga karagdagang kilalang partido sa multisig, na ginagawang imposible ang paghila ng alpombra. Sa puntong ito, sinimulan ng Security Research Team ang bukas na komunikasyon sa Convex, na nagbibigay ng buong mga detalye ng kahinaan at isang paraan ng pagsubok. Pagkaraan ng ilang sandali, na-patch ng Convex ang kahinaan, "sabi ng koponan.
Sa press time, ang Convex Finance (CVX) ay may TVL na $14.41 bilyon, ayon kay Defi Llama, habang ang presyo ng kanyang katutubong CVX token ay nasa paligid ng $36.57, tulad ng nakikita sa CoinMarketCap.
Pinagmulan: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/