OpenZeppelin telah mendedahkan bahawa ia baru-baru ini mendedahkan kelemahan teruk dalam kod protokol DeFi Convex Finance (CVX) yang akan membawa kepada tarikan permaidani $15 bilion jika dieksploitasi. Kelemahan itu telah ditambal oleh pasukan pembangunan Convex, menurut catatan blog 4 April 2022 oleh pasukan itu.
Convex Finance Rugpull Serangan Digagalkan
OpenZeppelin, firma keselamatan blockchain yang mendakwa sebagai standard untuk aplikasi blockchain yang selamat, menyediakan penyelesaian untuk membina, mengautomasikan dan mengendalikan aplikasi terdesentralisasi dan banyak lagi, telah mendedahkan bahawa ia baru-baru ini menambal pepijat Convex Finance yang boleh menyebabkan tarikan permaidani bernilai $15 bilion. .
Bagi mereka yang tidak sedar, serangan tarik permaidani berlaku apabila pencipta projek kewangan terdesentralisasi secara tiba-tiba memindahkan atau mencuri keseluruhan dana dalam kumpulan kecairan platform dan meninggalkan projek itu, sehingga merugikan pelabur.
Mengikut catatan blog oleh pasukan OpenZeppelin, kelemahan dalam kontrak pintar Convex Finance telah ditemui semasa latihan audit keselamatan untuk pertukaran crypto Coinbase pada Disember 2021.
Convex Finance ialah platform DeFi yang meningkatkan ganjaran untuk pemegang saham Curve (CRV) dan penyedia kecairan. Dilancarkan oleh pembangun tanpa nama pada Mei 2021, Convex Finance telah berkembang menjadi projek terkenal dalam ekosistem Curve, dengan $15 bilion dalam jumlah terkunci nilai (TVL) pada masa itu.
Memandangkan Convex Finance memegang sebahagian besar syiling stabil CRV Curve Finance dalam edaran, tarikan permaidani akan memberi kesan buruk kepada ahli kedua-dua ekosistem.
OpenZeppelin menulis:
“Sebagai sebahagian daripada audit, Pasukan Penyelidikan Keselamatan mendedahkan kelemahan yang, jika dieksploitasi oleh dua daripada tiga penandatangan dompet berbilang tandatangan (multisig) tanpa nama, akan memberikan kawalan langsung Convex multisig ke atas nilai terkunci Convex – kemudian kira-kira $15 bilion. Dokumentasi cembung secara khusus menyatakan kawalan sedemikian tidak mungkin."
Dilema
Walaupun pasukan telah menjelaskan dengan jelas bahawa pepijat itu telah dibetulkan, namun ia menyatakan bahawa hakikat bahawa kelemahan itu hanya boleh dieksploitasi atau ditampal oleh pembangun tanpa nama yang bertanggungjawab ke atas protokol menjadikan proses pendedahan satu tugas yang sukar.
“Dinamik menghubungi pasukan tanpa nama mengenai isu boleh menjadi rumit. Dalam banyak kes, kelemahan dalam perisian sumber terbuka boleh dieksploitasi oleh sesiapa sahaja yang menemuinya. Dalam contoh khusus ini, bagaimanapun, kelemahan hanya boleh dieksploitasi (atau ditampal) oleh pembangun tanpa nama Convex,” dedah OpenZeppelin.
Pasukan itu berkata ia menimbang beberapa pilihan tentang cara mendedahkan kecacatan keselamatan kepada Convex, walaupun ia percaya kelemahan keselamatan itu tidak sengaja dibuat, kerana status tanpa nama pasukan pembangun boleh membiarkan mereka melarikan diri dengan serangan tarik permaidani dengan mudah jika mereka memutuskan untuk bermain kotor.
OpenZeppelin berkata ia memutuskan untuk menambah firma hadiah pepijat, Immunefi pada gambar, untuk berfungsi sebagai perantara antaranya dan Convex.
Pada akhirnya, kedua-dua pihak bersetuju bahawa:
“Tindakan terbaik untuk dilema ini adalah dengan memasukkan pihak tambahan yang diketahui umum kepada multisig, menjadikan tarikan permaidani menjadi mustahil. Pada ketika ini, Pasukan Penyelidikan Keselamatan memulakan komunikasi terbuka dengan Convex, memberikan butiran kerentanan penuh dan kaedah ujian. Tidak lama selepas itu, Convex menambal kelemahan itu, "kata pasukan itu.
Pada masa akhbar, Convex Finance (CVX) mempunyai TVL sebanyak $14.41 bilion, menurut Defi Llama, manakala harga token CVX aslinya berada sekitar $36.57, seperti yang dilihat di CoinMarketCap.
Sumber: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/