რუტინული უსაფრთხოების აუდიტი გადაიქცა პოტენციურ კოშმარად Convex Finance-ისთვის, რადგან OpenZeppelin-ის უსაფრთხოების ჯგუფმა აღმოაჩინა დაუცველობა Convex Finance პროტოკოლის უსაფრთხოების განხილვისას.
შეცდომის ექსპლუატაციის შემთხვევაში შესაძლოა კონვექსის ჩაკეტილი ღირებულება, იმ დროისთვის 15 მილიარდი დოლარი, რისკის ქვეშ დააყენოს, რაც მკვლევარებს მის პირდაპირ კონტროლს მისცემდა. საინტერესოა აღინიშნოს, რომ Convex-ის დოკუმენტაციამ განაცხადა, რომ ასეთი დონის კონტროლი მის ჩაკეტილ მნიშვნელობაზე შეუძლებელი იქნებოდა. აღმოჩენის დღიდან ამოზნექილი გუნდი სწრაფად ასწორებდა დაუცველობას.
დეტალები Bug
OpenZeppelin-მა ნათელი მოჰფინა შეცდომის აღმოჩენას და შემდგომ შესწორებას ა დღიურში შეტყობინება. Convex, ერთ-ერთ ყველაზე გამორჩეულ DeFi პროტოკოლს, ჰქონდა მნიშვნელოვანი ხარვეზი, რამაც რისკის ქვეშ დააყენა მისი დაბლოკილი ღირებულების 15 მილიარდი დოლარი. პროტოკოლი შეიცავს Curve Finance-ის CRV ტოკენების უმრავლესობას. Curve არის წამყვანი stablecoin ავტომატიზირებული ბაზრის მწარმოებელი, რომელიც უზრუნველყოფს დეცენტრალიზებული ეკონომიკის ლიკვიდობის დაახლოებით 1/10-ს.
OpenZeppelin-ის უსაფრთხოების კვლევითი გუნდის მიერ აღმოჩენილი ხარვეზი ნიშნავს, რომ თუ Convex's multisig-ის ორი ან სამი ხელმომწერი შეასრულებს ნაბიჯების კონკრეტულ სერიას, ისინი მიიღებენ შეუზღუდავ წვდომას ლიკვიდურობის პროვაიდერის ტოკენებზე, რომლებიც განთავსებულია LP ტოკენისა და სამიზნე ლიანდაგის მიერ კონფიგურირებულ სამიზნე აუზში.
დოკუმენტაცია ამოზნექილიდან აჩვენა, რომ ასეთი სცენარი არ უნდა იყოს შესაძლებელი, მაგრამ მას შემდეგ განახლდა. ამან რეზოლუცია ოდნავ გაართულა. თუმცა, დაუცველობა შესწორდა 14 წლის 2021 დეკემბერს. შეგიძლიათ გაიგოთ მეტი იმის შესახებ, თუ როგორ შეიძლებოდა ამ შეცდომის გამოყენება. აქ დაწკაპუნებით.
გამჟღავნების გართულებები
ჩვენ აღვნიშნეთ, რომ შეცდომის გამჟღავნება ოდნავ რთული იყო OpenZeppelin-ის გუნდისთვის. მოდით გავიგოთ რატომ. ეს ოდნავ გართულდება, თუ გუნდი აღმოაჩენს პროტოკოლის დაუცველობას, რომლის ექსპლუატაცია ან დაყენება შესაძლებელია მხოლოდ პროტოკოლის განსახილველი დეველოპერის გუნდის მიერ. ეს დაუცველობა იძლევა იდეალურ ფანჯარას იმის შესახებ, თუ როგორ შეიძლება არასწორად მორგებულმა სტიმულებმა და არასრულყოფილმა სიტუაციურმა ცოდნამ გამოიწვიოს გართულებები, როდესაც საქმე დაუცველობის გამჟღავნებას ეხება. Curve-ის შემთხვევაში, დაუცველობის გამოყენება მხოლოდ Convex-ის ანონიმურ დეველოპერებს შეეძლოთ.
OpenZeppelin დარწმუნებული იყო, რომ დაუცველობა Convex-ზე იყო უნებლიე, მაგრამ ისინი ვერ იქნებოდნენ გარკვეული. გართულების კიდევ ერთი ფენა ის იყო, რომ მაშინაც კი, თუ Convex-ის გუნდმა არ იცოდა შეცდომის შესახებ, გამჟღავნებამ შექმნა სტიმული Convex-ის დეველოპერებისთვის, რომ ბოროტად ემოქმედათ, 15 მილიარდი დოლარის დაჭერით. მიუხედავად იმისა, რომ OpenZeppelin-ს სურდა გამოეყენებინა ეჭვი Convex დეველოპერებისთვის, შედეგები მნიშვნელოვანი იყო, თუ დადასტურდა, რომ ის არასწორი იყო.
წინსვლის გზა გამჟღავნებასთან ერთად
OpenZeppelin-ის შეშფოთება შეიძლება გაიფანტოს, თუ Convex გამოავლენს დეველოპერების ვინაობას. თუმცა, ამან შეიძლება გამოიწვიოს უსაფრთხოების შეშფოთება Convex-ის ბოლოს, დეველოპერებმა დაკარგონ ანონიმურობა. ამრიგად, OpenZeppelin-ის გუნდს სამი გზა დარჩა წინ.
- ამოზნექილი დაუცველობის დეტალების გამჟღავნება - ეს გარკვეულ რისკს ატარებდა, თითქოს დაუცველობა იყო მიზანმიმართული, გამჟღავნება აიძულა დეველოპერები შეესრულებინა ხალიჩის განზრახვა.
- გაამჟღავნეთ დაუცველობა საზოგადოების წინაშე - მიუხედავად იმისა, რომ არსებობდა გარკვეული არგუმენტები საზოგადოებისთვის დაუცველობის გამჟღავნების სასარგებლოდ, OpenZeppelin-მა ჩათვალა, რომ ეს ქმედება უპასუხისმგებლო იქნებოდა. ორი შესაძლო სცენარი შეიძლება გამოჩნდეს ამ მოქმედების კურსიდან. თუ დაუცველობა იყო გამჟღავნებული და მიზანმიმართული, დეველოპერები შეასრულებდნენ თავიანთ ხალიჩას. თუმცა, თუ ეს უნებლიე იყო, ის მნიშვნელოვან ზიანს მიაყენებდა Convex-ის რეპუტაციას.
- მიიღეთ გარანტიები, რომ ამოზნექილი გუნდი არ გამოიყენებს დაუცველობას და შემდეგ გაამჟღავნებს – ეს იყო OpenZeppelin-ის მიდგომა, როდესაც გუნდმა მიმართა Bug Bounty-ის პარტნიორ Immunefi-ს შუამავლისთვის Convex-სა და OpenZeppelin-ს შორის.
საჯაროდ ცნობილი პირების დამატება ამოზნექილ მულტიგრამამდე
საზოგადოებისთვის ცნობილი მონაწილეების დამატება Convex multisig-ში იყო გასაღები რისკის შესამცირებლად. OpenZeppelin-ის უსაფრთხოების გუნდი და Convex-ის ანონიმური დეველოპერები შეთანხმდნენ, რომ მულტისიგში საჯაროდ ცნობილი მხარეების დამატება იყო საუკეთესო გზა, რაც ხალიჩის დაჭიმვას შეუძლებელს ხდის. მას შემდეგ, რაც დამყარდა კომუნიკაცია OpenZeppelin-სა და Convex-ს შორის, ეს უკანასკნელი გაპრიალებული დაუცველობა.
უარი პასუხისმგებლობაზე: ეს სტატია მოწოდებულია მხოლოდ ინფორმაციული მიზნებისთვის. ის არ არის შემოთავაზებული ან მიზნად ისახავს გამოყენებას იურიდიულ, საგადასახადო, საინვესტიციო, ფინანსურ ან სხვა რჩევად.
წყარო: https://cryptodaily.co.uk/2022/04/openzeppelin-discovers-15-billion-rug-pull-vulnerability-in-convex-finance