OpenZeppelin فاش کرده است که اخیراً آسیبپذیری شدیدی را در کد پروتکل Convex Finance (CVX) DeFi کشف کرده است که در صورت سوء استفاده منجر به کاهش ۱۵ میلیارد دلاری میشود. بر اساس یک پست وبلاگ در 15 آوریل 4 توسط تیم توسعه Convex، این حفره از آن زمان توسط تیم توسعه Convex اصلاح شده است.
حمله مالی محدب Rugpull خنثی شد
OpenZeppelin، یک شرکت امنیتی بلاک چین که ادعا می کند استانداردی برای برنامه های بلاک چین ایمن است، راه حل هایی برای ساخت، خودکارسازی و اجرای برنامه های غیرمتمرکز و موارد دیگر ارائه می دهد، فاش کرده است که اخیراً یک باگ Convex Finance را اصلاح کرده است که می توانست به 15 میلیارد دلار کاهش قیمت منجر شود. .
برای کسانی که بیخبر هستند، یک حمله rug pull زمانی اتفاق میافتد که یک خالق پروژه مالی غیرمتمرکز به طور ناگهانی کل وجوه موجود در استخرهای نقدینگی پلتفرم را منتقل یا سرقت کند و پروژه را به ضرر سرمایهگذاران رها کند.
طبق یک پست وبلاگ توسط تیم OpenZeppelin، آسیب پذیری در قراردادهای هوشمند Convex Finance در جریان یک تمرین ممیزی امنیتی برای صرافی رمزارز Coinbase در دسامبر 2021 کشف شد.
Convex Finance یک پلت فرم DeFi است که پاداش را برای سهامداران Curve (CRV) و ارائه دهندگان نقدینگی افزایش می دهد. Convex Finance که توسط یک توسعه دهنده ناشناس در می 2021 راه اندازی شد، با 15 میلیارد دلار ارزش کل قفل شده (TVL) در آن زمان، به یک پروژه قابل توجه در اکوسیستم Curve تبدیل شد.
از آنجایی که Convex Finance اکثریت استیبل کوینهای CRV Curve Finance را در اختیار دارد، کشش فرش میتواند تأثیر مخربی بر اعضای هر دو اکوسیستم داشته باشد.
OpenZeppelin نوشت:
به عنوان بخشی از ممیزی، تیم تحقیقاتی امنیتی آسیبپذیری را کشف کرد که اگر توسط دو تا از سه امضاکننده ناشناس کیف پول چند امضایی (multisig) مورد سوء استفاده قرار میگرفت، به Convex multisig کنترل مستقیم بر ارزش قفل شده Convex میداد - تقریباً 15 میلیارد دلار. اسناد محدب به طور خاص بیان میکنند که چنین کنترلی امکانپذیر نیست.
معضل
اگرچه تیم مشخص کرده است که از آن زمان این باگ برطرف شده است، اما خاطرنشان می کند که این واقعیت که این آسیب پذیری تنها می تواند توسط توسعه دهندگان ناشناس مسئول پروتکل مورد سوء استفاده یا وصله قرار گیرد، فرآیند افشا را به یک کار دشوار تبدیل کرده است.
پویایی تماس با تیم های ناشناس در مورد مسائل می تواند پیچیده باشد. در بسیاری از موارد، آسیب پذیری در نرم افزار منبع باز می تواند توسط هر کسی که آن را پیدا کند مورد سوء استفاده قرار گیرد. با این حال، در این نمونه خاص، این آسیبپذیری تنها میتواند توسط توسعهدهندگان ناشناس Convex مورد سوء استفاده (یا اصلاح) قرار گیرد.» OpenZeppelin فاش کرد.
این تیم میگوید که چندین گزینه را در مورد نحوه افشای نقص امنیتی به Convex در نظر گرفته است، حتی اگر معتقد است که شکاف امنیتی عمدا ایجاد نشده است، زیرا وضعیت ناشناس تیم توسعهدهنده میتواند به آنها اجازه دهد به راحتی با یک حمله rug pull فرار کنند. اگر تصمیم گرفتند کثیف بازی کنند.
OpenZeppelin میگوید که تصمیم گرفته است که یک شرکت باگ باگ، Immunefi را به تصویر اضافه کند تا به عنوان واسطه بین آن و Convex عمل کند.
در پایان هر دو طرف توافق کردند که:
«بهترین اقدام برای این معضل این بود که احزاب دیگری را که عموماً شناخته شده بودند، در مولتی سیگ بگنجانیم، که کشیدن فرش را غیرممکن میکرد. در این مرحله، تیم تحقیقاتی امنیتی ارتباط باز را با Convex آغاز کرد و جزئیات کامل آسیبپذیری و یک روش آزمایش را ارائه کرد. مدت کوتاهی پس از آن، Convex آسیبپذیری را اصلاح کرد.
طبق گفته Defi Llama، در زمان انتشار، Convex Finance (CVX) TVL 14.41 میلیارد دلاری دارد، در حالی که قیمت توکن CVX اصلی آن، همانطور که در CoinMarketCap دیده می شود، در حدود 36.57 دلار است.
منبع: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/