OpenZeppelin ka zbuluar se kohët e fundit ka zbuluar një cenueshmëri të rëndë në kodin e protokollit Convex Finance (CVX) DeFi që do të kishte çuar në një tërheqje prej 15 miliardë dollarësh nëse do të shfrytëzohej. Zbrazëtira që atëherë është rregulluar nga ekipi i zhvillimit Convex, sipas një postimi në blog të 4 prillit 2022 nga ekipi.
Sulmi konveks Rugpull i financave u prish
OpenZeppelin, një firmë sigurie blockchain që pretendon të jetë standardi për aplikacionet e sigurta të blockchain, duke ofruar zgjidhje për të ndërtuar, automatizuar dhe operuar aplikacione të decentralizuara dhe më shumë, ka zbuluar se kohët e fundit korrigjoi një gabim Convex Finance që mund të kishte çuar në një tërheqje prej 15 miliardë dollarësh. .
Për ata që nuk janë në dijeni, një sulm i tërheqjes së qilimit ndodh kur një krijues i projektit të financave të decentralizuar transferon ose vjedh papritur të gjitha fondet në pishinat e likuiditetit të platformës dhe braktis projektin, në dëm të investitorëve.
Sipas një postimi në blog nga ekipi OpenZeppelin, cenueshmëria në kontratat inteligjente Convex Finance u zbulua gjatë një ushtrimi auditimi sigurie për shkëmbimin e kriptove Coinbase në dhjetor 2021.
Convex Finance është një platformë DeFi që rrit shpërblimet për pjesëmarrësit në Curve (CRV) dhe ofruesit e likuiditetit. I lançuar nga një zhvillues anonim në maj 2021, Convex Finance është rritur për t'u bërë një projekt i dukshëm në ekosistemin Curve, me 15 miliardë dollarë në vlerë totale të mbyllur (TVL) në atë kohë.
Meqenëse Convex Finance mban shumicën e monedhave të qëndrueshme CRV të Curve Finance në qarkullim, një tërheqje e qilimit do të kishte pasur një efekt shkatërrues për anëtarët e të dy ekosistemeve.
OpenZeppelin shkroi:
“Si pjesë e auditimit, Ekipi i Kërkimit të Sigurisë zbuloi një dobësi që, nëse do të shfrytëzohej nga dy nga tre nënshkruesit anonimë të portofolit me shumë nënshkrime (multisig), do t'i kishte dhënë Convex multisig kontroll të drejtpërdrejtë mbi vlerën e bllokuar të Convex - atëherë afërsisht 15 miliardë dollarë. Dokumentacioni konveks deklaroi në mënyrë specifike që një kontroll i tillë nuk ishte i mundur.”
Dilema
Megjithëse ekipi e ka bërë të qartë se gabimi është rregulluar që atëherë, ai megjithatë vëren se fakti që dobësia mund të shfrytëzohej ose korrigjohej vetëm nga zhvilluesit anonimë përgjegjës për protokollin e bëri procesin e zbulimit një detyrë herkuliane.
“Dinamika e kontaktimit të ekipeve anonime për çështje mund të jetë komplekse. Në shumë raste, një dobësi në softuerin me burim të hapur mund të shfrytëzohet nga kushdo që e gjen. Sidoqoftë, në këtë rast specifik, dobësia mund të shfrytëzohej (ose rregullohej) vetëm nga zhvilluesit anonimë të Convex, " zbuloi OpenZeppelin.
Ekipi thotë se peshonte disa opsione se si t'i zbulonte të metat e sigurisë Convex, edhe pse besonte se boshllëku i sigurisë nuk ishte krijuar qëllimisht, pasi statusi anonim i ekipit të zhvilluesit mund t'i lejonte ata të largoheshin me lehtësi nga një sulm me tërheqje qilimi. nëse vendosin të luanin pisët.
OpenZeppelin thotë se vendosi të shtojë në foto një firmë të bujshme, Immunefi, për të funksionuar si një ndërmjetës midis saj dhe Convex.
Në fund të dyja palët ranë dakord që:
“Rruga më e mirë e veprimit ndaj kësaj dileme ishte inkorporimi i partive shtesë të njohura publikisht në multisig, duke e bërë të pamundur tërheqjen e qilimit. Në këtë pikë, Ekipi i Kërkimit të Sigurisë filloi komunikimin e hapur me Convex, duke ofruar detaje të plota të cenueshmërisë dhe një metodë testimi. Menjëherë pas kësaj, Convex rregulloi cenueshmërinë, "tha ekipi.
Në kohën e shtypit, Convex Finance (CVX) ka një TVL prej 14.41 miliardë dollarë, sipas Defi Llama, ndërsa çmimi i tokenit të tij vendas CVX është rreth 36.57 dollarë, siç shihet në CoinMarketCap.
Burimi: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/