OpenZeppelin, yakın zamanda Convex Finance (CVX) DeFi protokol kodunda, istismar edildiğinde 15 milyar dolarlık bir hasılat elde edilmesine yol açabilecek ciddi bir güvenlik açığını ortaya çıkardığını açıkladı. Ekip tarafından 4 Nisan 2022 tarihli bir blog gönderisine göre, boşluk Convex geliştirme ekibi tarafından düzeltildi.
Dışbükey Finans Rugpull Saldırısı Engellendi
Güvenli blok zinciri uygulamaları için standart olduğunu iddia eden, merkezi olmayan uygulamaları oluşturmak, otomatikleştirmek ve çalıştırmak için çözümler sunan bir blok zinciri güvenlik firması olan OpenZeppelin, yakın zamanda 15 milyar dolarlık bir halı çekişine yol açabilecek bir Convex Finance hatasını yamaladığını açıkladı. .
Farkında olmayanlar için, merkezi olmayan bir finans projesi yaratıcısı, platformun likidite havuzlarındaki tüm fonları aniden transfer ettiğinde veya çaldığında ve yatırımcıların zararına projeyi terk ettiğinde bir halı çekme saldırısı gerçekleşir.
OpenZeppelin ekibi tarafından yayınlanan bir blog gönderisine göre, Convex Finance akıllı sözleşmelerindeki güvenlik açığı, Aralık 2021'de Coinbase kripto borsası için bir güvenlik denetimi çalışması sırasında keşfedildi.
Convex Finance, Curve (CRV) stakers ve likidite sağlayıcıları için ödülleri artıran bir DeFi platformudur. Mayıs 2021'de anonim bir geliştirici tarafından başlatılan Convex Finance, o sırada 15 milyar dolarlık kilitli toplam değeri (TVL) ile Curve ekosisteminde dikkate değer bir proje haline geldi.
Convex Finance, Curve Finance'in CRV stabilcoinlerinin çoğunluğunu dolaşımda tuttuğundan, bir halı çekmenin her iki ekosistemin üyeleri üzerinde yıkıcı bir etkisi olurdu.
OpenZeppelin şunu yazdı:
“Denetimin bir parçası olarak, Güvenlik Araştırma Ekibi, üç anonim çoklu imza cüzdanı (multisig) imzalayıcısından ikisi tarafından kullanılması durumunda Convex multisig'e Convex'in kilitli değeri üzerinde doğrudan kontrol verecek olan bir güvenlik açığını ortaya çıkardı - o zaman yaklaşık 15 milyar dolar. Dışbükey belgeler özellikle böyle bir kontrolün mümkün olmadığını belirtti.”
Dilemma
Ekip, hatanın o zamandan beri düzeltildiğini açıkça belirtmiş olsa da, güvenlik açığından yalnızca protokolden sorumlu anonim geliştiriciler tarafından yararlanılabileceği veya yamalanabileceği gerçeğinin açıklama sürecini zorlu bir görev haline getirdiğini belirtiyor.
"Sorunlar hakkında anonim ekiplerle iletişim kurma dinamikleri karmaşık olabilir. Çoğu durumda, açık kaynaklı yazılımdaki bir güvenlik açığı, onu bulan herkes tarafından kullanılabilir. Ancak bu özel durumda, güvenlik açığı yalnızca Convex'in anonim geliştiricileri tarafından kullanılabilir (veya yamalanabilir)", diye açıkladı OpenZeppelin.
Ekip, güvenlik açığının kasıtlı olarak oluşturulmadığına inanmasına rağmen, güvenlik açığının Convex'e nasıl ifşa edileceği konusunda çeşitli seçenekleri tarttığını söylüyor, çünkü geliştirici ekibin anonim durumu, bir halı çekme saldırısından kolayca kurtulmalarına izin verebilir. eğer kirli oynamaya karar verirlerse.
OpenZeppelin, Convex ile aralarında bir aracı olarak işlev görmesi için resme Immunefi adlı bir bug bounty firması eklemeye karar verdiğini söyledi.
Sonunda, her iki taraf da şunları kabul etti:
"Bu ikilemin en iyi yolu, çoklu imzaya halk tarafından bilinen ek tarafları dahil etmek ve bir halı çekmeyi imkansız hale getirmekti. Bu noktada, Güvenlik Araştırma Ekibi Convex ile açık iletişime geçerek tüm güvenlik açığı ayrıntılarını ve bir test yöntemi sağladı. Kısa bir süre sonra, Convex güvenlik açığını düzeltti” dedi.
Basın zamanında, Convex Finance (CVX), Defi Llama'ya göre 14.41 milyar dolarlık bir TVL'ye sahipken, yerel CVX tokeninin fiyatı CoinMarketCap'te görüldüğü gibi 36.57 dolar civarında bulunuyor.
Kaynak: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/