OpenZeppelin-მა გამოავლინა, რომ ახლახან აღმოაჩინა სერიოზული დაუცველობა Convex Finance (CVX) DeFi პროტოკოლის კოდში, რომელიც გამოიწვევდა 15 მილიარდ დოლარს ხალიჩის ათვისებას. 4 წლის 2022 აპრილის ბლოგ-პოსტში ნათქვამია, რომ ხარვეზი მას შემდეგ გამოსწორდა Convex განვითარების ჯგუფმა.
ამოზნექილი ფინანსები რაგპულის თავდასხმა ჩაიშალა
OpenZeppelin, ბლოკჩეინის უსაფრთხოების ფირმა, რომელიც აცხადებს, რომ არის სტანდარტი უსაფრთხო ბლოკჩეინის აპლიკაციებისთვის, უზრუნველყოფს გადაწყვეტილებებს დეცენტრალიზებული აპლიკაციების შექმნის, ავტომატიზაციისა და მუშაობისთვის და სხვა. .
მათთვის, ვინც არ იცის, ხალიჩის გადატანის შეტევა ხდება მაშინ, როდესაც დეცენტრალიზებული ფინანსური პროექტის შემქმნელი მოულოდნელად გადასცემს ან იპარავს მთელ თანხებს პლატფორმის ლიკვიდურობის აუზებში და ტოვებს პროექტს ინვესტორების საზიანოდ.
OpenZeppelin-ის გუნდის ბლოგის პოსტის მიხედვით, დაუცველობა Convex Finance სმარტ კონტრაქტებში აღმოაჩინეს Coinbase კრიპტო ბირჟის უსაფრთხოების აუდიტის დროს 2021 წლის დეკემბერში.
Convex Finance არის DeFi პლატფორმა, რომელიც აძლიერებს ჯილდოებს Curve (CRV) მონაწილეებისთვის და ლიკვიდობის პროვაიდერებისთვის. ანონიმური დეველოპერის მიერ 2021 წლის მაისში გაშვებული, Convex Finance გაიზარდა და გახდა თვალსაჩინო პროექტი Curve-ის ეკოსისტემაში, იმ დროისთვის 15 მილიარდი დოლარის მთლიანი ღირებულებით ჩაკეტილი (TVL).
ვინაიდან Convex Finance ფლობს Curve Finance-ის CRV სტაბილური მონეტების უმეტესობას მიმოქცევაში, ხალიჩის მოზიდვა დამანგრეველ გავლენას მოახდენდა ორივე ეკოსისტემის წევრებზე.
OpenZeppelin-მა დაწერა:
„აუდიტის ფარგლებში, უსაფრთხოების კვლევითმა ჯგუფმა აღმოაჩინა დაუცველობა, რომელსაც სამი ანონიმური მრავალხელმოწერის საფულის (multisig) ხელმომწერი რომ გამოიყენებდა, Convex multisig-ს პირდაპირ კონტროლს მისცემდა Convex-ის ჩაკეტილ ღირებულებაზე - მაშინ დაახლოებით $15 მილიარდი. ამოზნექილ დოკუმენტაციაში კონკრეტულად ნათქვამია, რომ ასეთი კონტროლი შეუძლებელი იყო.
დილემა
მიუხედავად იმისა, რომ გუნდმა ცხადყო, რომ ხარვეზი მას შემდეგ გამოსწორდა, ის აღნიშნავს, რომ ის ფაქტი, რომ დაუცველობის გამოყენება ან შესწორება მხოლოდ პროტოკოლზე პასუხისმგებელი ანონიმური დეველოპერების მიერ იყო შესაძლებელი, გამჟღავნების პროცესი ჰერკულესულ ამოცანად აქცია.
„საკითხებთან დაკავშირებით ანონიმურ გუნდებთან დაკავშირების დინამიკა შეიძლება იყოს რთული. ხშირ შემთხვევაში, ღია კოდის პროგრამული უზრუნველყოფის დაუცველობა შეიძლება გამოიყენოს ყველას, ვინც იპოვის მას. თუმცა, ამ კონკრეტულ შემთხვევაში, დაუცველობის ექსპლუატაცია (ან შესწორება) შეიძლება მხოლოდ Convex-ის ანონიმური დეველოპერების მიერ,” - გამოავლინა OpenZeppelin.
გუნდი ამბობს, რომ იწონიდა რამდენიმე ვარიანტს იმის შესახებ, თუ როგორ უნდა გაემჟღავნებინა უსაფრთხოების ხარვეზი Convex-ისთვის, მიუხედავად იმისა, რომ თვლიდა, რომ უსაფრთხოების ხარვეზი არ იყო განზრახ შექმნილი, რადგან დეველოპერის გუნდის ანონიმურმა სტატუსმა შეეძლო მათ მარტივად გაექცნენ ხალიჩის გაყვანის შეტევას. თუ მათ გადაწყვიტეს ბინძური თამაში.
OpenZeppelin-მა განაცხადა, რომ მან გადაწყვიტა დაემატებინა სურათზე შეცდომების პრემიის ფირმა, Immunefi, რათა ფუნქციონირებდეს როგორც შუამავალი მასსა და Convex-ს შორის.
საბოლოოდ ორივე მხარე შეთანხმდა, რომ:
”ამ დილემისთვის მოქმედების საუკეთესო გზა იყო დამატებითი საჯაროდ ცნობილი მხარეების ჩართვა მულტიზიგში, რაც ხალიჩის გაყვანას შეუძლებელს გახდის. ამ მომენტში, უსაფრთხოების კვლევის ჯგუფმა დაიწყო ღია კომუნიკაცია Convex-თან, უზრუნველყოს სრული დაუცველობის დეტალები და ტესტირების მეთოდი. ამის შემდეგ მალევე, Convex-მა შეასწორა დაუცველობა, ”- თქვა გუნდმა.
პრესის დროს, Convex Finance-ს (CVX) აქვს TVL $14.41 მილიარდი, Defi Llama-ს მიხედვით, ხოლო მისი მშობლიური CVX ტოკენის ფასი 36.57$-ის ფარგლებშია, როგორც ჩანს CoinMarketCap-ზე.
წყარო: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/