Ang OpenZeppelin, isang kumpanya ng pag-audit ng seguridad para sa Coinbase, ay nakilala ang $15B rugpull vulnerabilities sa Convex Finance, na ang mga hindi kilalang developer ay nalutas ang panganib sa kalaunan. Ang nakakagulat na pagtuklas ay naganap sa panahon ng isang pagsusuri sa seguridad ng protocol ng Convex Finance.
Isang Bug Lamang na Magagamit Mula sa Loob
Nalaman ng Security Research Team mula sa OpenZeppelin noong huling bahagi ng 2021 na ang isang malaking bug sa protocol ay maaaring humantong sa paglalagay sa panganib ng $15B na halaga ng mga naka-lock na asset. Ang pagsisiyasat ay nagsiwalat na "kung dalawa sa tatlong pumirma ng Convex multisig ay nagsagawa ng isang tiyak na serye ng mga hakbang, ang mga user ay maa-access ang lahat ng mga token ng LP na nakatatak sa target na pool at sa gayon ay magsagawa ng rugpull - pagnanakaw ng lahat ng mga asset mula sa pool .”
dokumentasyon mula sa Convex noong panahong iyon ay nagsabi na ang ganitong kalamidad na nagaganap sa mga LP pool nito ay hindi posible. Gayunpaman, kalaunan ay natukoy ng security team ang mga paraan ng pagsasamantala sa mga kahinaan – na sa kabutihang palad ay na-patch ng Convex noong ika-14 ng Disyembre 2021.
Ang Convex Finance ay isang open-source na protocol na ang mga developer ay nanatiling hindi nagpapakilala mula noong ilunsad ito. Sa pagkakataong ito, bilang tinuro sa pamamagitan ng OpenZeppelin, tanging ang mga developer ng Convex Finance ang maaaring aktwal na samantalahin ang mga kahinaan. Ang pagsisiwalat tungkol sa insidente ay naging partikular na kumplikado dahil sa likas na katangian ng hindi nagpapakilala.
Mga Komplikasyon sa Pagbubunyag
Matapos suriin ang code at ang pagsisikap na kinakailangan ng Convex upang pagsamantalahan ang mga kahinaan, iginiit ng OpenZeppelin na ang kahinaan ay hindi sinasadya at ang mga developer ng Convex ay mga aktor na may mabuting pananampalataya.
"Ang pampublikong pagsisiwalat ay lumikha ng isang masamang insentibo para sa mga developer ng Convex" at nag-ambag sa pagkawala ng pagiging anonymous na mahalaga sa koponan ng Convex. Dahil dito, nagpasya ang OpenZeppelin na "maabot ang kasosyo sa bug bounty na si Immunefi para sa pagpapakilala sa isang tagapamagitan sa pagitan ng OpenZeppelin at Convex."
Matapos magkasundo ang magkabilang partido na mag-imbita ng mga kilalang entity sa multisig, na naging imposible ang rugpull, isiniwalat ng OpenZeppelin ang bug sa Convex batay sa pagkakaroon ng katiyakan ng koponan na hindi sinasamantala ang mga kahinaan. Inayos ni Convex ang isyu sa lalong madaling panahon pagkatapos at sa gayon ay winakasan ang panganib ng isang rugpull na nagkakahalaga sana ng $15B.
Binance Free $100 (Eksklusibo): Gamitin ang link na ito para magparehistro at makatanggap ng $100 na libre at 10% diskwento sa mga bayarin sa Binance Futures unang buwan (takda).
Espesyal na Alok ng PrimeXBT: Gamitin ang link na ito para magparehistro at maglagay ng POTATO50 code para makatanggap ng hanggang $7,000 sa iyong mga deposito.
Pinagmulan: https://cryptopotato.com/openzeppelin-found-potential-15b-rugpull-in-convex-finance/