OpenZeppelin жақында Convex Finance (CVX) DeFi протоколының кодындағы ауыр осалдықты анықтағанын анықтады, ол пайдаланылса 15 миллиард долларлық кілемді тартып алуға әкелетін. Команданың 4 жылғы 2022 сәуірдегі блог жазбасына сәйкес олқылықты Convex әзірлеу тобы түзетіп тастады.
Convex Finance Rugpull шабуылы жойылды
OpenZeppelin, орталықтандырылмаған қолданбаларды құру, автоматтандыру және басқару және т.б. шешімдерді ұсынатын, қауіпсіз блокчейн қосымшаларының стандарты болып табылатын блокчейндік қауіпсіздік фирмасы жақында 15 миллиард долларлық кілемнің тартылуына әкелуі мүмкін Convex Finance қатесін түзеткенін анықтады. .
Білмейтіндер үшін орталықтандырылмаған қаржы жобасын жасаушы платформаның өтімділік пулындағы барлық қаражатты кенеттен аударып немесе ұрлап, инвесторларға зиян келтіретін жобадан бас тартқанда, кілемше шабуылы орын алады.
OpenZeppelin командасының блог жазбасында Convex Finance смарт келісімшарттарындағы осалдық 2021 жылдың желтоқсанында Coinbase криптовалюта алмасуының қауіпсіздік аудиті жаттығулары кезінде анықталған.
Convex Finance - Curve (CRV) стекерлері мен өтімділік провайдерлері үшін сыйақыларды арттыратын DeFi платформасы. 2021 жылдың мамырында анонимді әзірлеуші іске қосқан Convex Finance Curve экожүйесінде көрнекті жобаға айналды, сол кездегі жалпы құны 15 миллиард доллар құлыптаулы (TVL).
Convex Finance айналымда Curve Finance CRV стабилкоиндерінің көпшілігін ұстайтындықтан, кілемді тарту екі экожүйенің мүшелеріне де жойқын әсер етер еді.
OpenZeppelin жазды:
«Аудиттің бөлігі ретінде Қауіпсіздікті зерттеу тобы осалдықты анықтады, оны үш анонимді көп қолтаңбалы әмиянға (мультисиг) қол қоюшының екеуі пайдаланса, Convex multisig-ге Convex құлыпталған құнын тікелей басқаруға мүмкіндік беретін, содан кейін шамамен $15 млрд. Дөңес құжаттамада мұндай бақылау мүмкін емес деп нақты көрсетілген».
Дилемма
Команда қатенің содан кейін түзетілгенін түсіндірсе де, ол осалдықты тек хаттамаға жауапты анонимді әзірлеушілер ғана пайдалана алатынын немесе түзетуге болатынын атап өтеді.
«Мәселелер бойынша анонимді топтармен байланысу динамикасы күрделі болуы мүмкін. Көптеген жағдайларда ашық бастапқы бағдарламалық құралдағы осалдықты оны тапқан кез келген адам пайдалана алады. Алайда, бұл нақты жағдайда осалдықты Convex-тің анонимді әзірлеушілері ғана пайдалана алады (немесе түзетеді)», - деп көрсетті OpenZeppelin.
Команда қауіпсіздік кемшілігін әдейі жасалмаған деп есептесе де, Convex-ке қауіпсіздік кемшілігін ашудың бірнеше нұсқасын қарастырғанын айтады, өйткені әзірлеушілер тобының анонимді мәртебесі оларға кілемшелерді тарту шабуылынан оңай құтылуға мүмкіндік береді. егер олар лас ойнауды шешсе.
OpenZeppelin суретке Immunefi қателерді марапаттау фирмасын қосуды шешіп, онымен Convex арасындағы делдал қызметін атқаратынын айтады.
Қорытындылай келе, екі тарап та келісімге келді:
«Бұл дилемманы шешудің ең жақсы жолы мультисигке қосымша көпшілікке белгілі тараптарды қосу болды, бұл кілемді тартуды мүмкін емес етеді. Осы сәтте Қауіпсіздікті зерттеу тобы толық осалдық мәліметтерін және сынақ әдісін қамтамасыз ететін Convex-пен ашық байланысты бастады. Көп ұзамай Convex осалдықты түзетеді », - деді команда.
Баспасөз уақытында Convex Finance (CVX) Defi Llama мәліметтері бойынша 14.41 миллиард доллар TVL-ге ие, ал оның CVX таңбалауышы CoinMarketCap сайтында көрсетілгендей, оның бағасы шамамен 36.57 долларды құрайды.
Дереккөз: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/