رمزنگاری

OpenZeppelin بالقوه کشش فرش 15 میلیارد دلاری پروتکل محدب را فویل می کند - crypto.news

04/05/2022
اخبار بیت کوین اتریوم

OpenZeppelin فاش کرده است که اخیراً آسیب‌پذیری شدیدی را در کد پروتکل Convex Finance (CVX) DeFi کشف کرده است که در صورت سوء استفاده منجر به کاهش ۱۵ میلیارد دلاری می‌شود. بر اساس یک پست وبلاگ در 15 آوریل 4 توسط تیم توسعه Convex، این حفره از آن زمان توسط تیم توسعه Convex اصلاح شده است.

حمله مالی محدب Rugpull خنثی شد 

OpenZeppelin، یک شرکت امنیتی بلاک چین که ادعا می کند استانداردی برای برنامه های بلاک چین ایمن است، راه حل هایی برای ساخت، خودکارسازی و اجرای برنامه های غیرمتمرکز و موارد دیگر ارائه می دهد، فاش کرده است که اخیراً یک باگ Convex Finance را اصلاح کرده است که می توانست به 15 میلیارد دلار کاهش قیمت منجر شود. .

برای کسانی که بی‌خبر هستند، یک حمله rug pull زمانی اتفاق می‌افتد که یک خالق پروژه مالی غیرمتمرکز به طور ناگهانی کل وجوه موجود در استخرهای نقدینگی پلتفرم را منتقل یا سرقت کند و پروژه را به ضرر سرمایه‌گذاران رها کند.

طبق یک پست وبلاگ توسط تیم OpenZeppelin، آسیب پذیری در قراردادهای هوشمند Convex Finance در جریان یک تمرین ممیزی امنیتی برای صرافی رمزارز Coinbase در دسامبر 2021 کشف شد.

Convex Finance یک پلت فرم DeFi است که پاداش را برای سهامداران Curve (CRV) و ارائه دهندگان نقدینگی افزایش می دهد. Convex Finance که توسط یک توسعه دهنده ناشناس در می 2021 راه اندازی شد، با 15 میلیارد دلار ارزش کل قفل شده (TVL) در آن زمان، به یک پروژه قابل توجه در اکوسیستم Curve تبدیل شد.

از آنجایی که Convex Finance اکثریت استیبل کوین‌های CRV Curve Finance را در اختیار دارد، کشش فرش می‌تواند تأثیر مخربی بر اعضای هر دو اکوسیستم داشته باشد. 

OpenZeppelin نوشت:

به عنوان بخشی از ممیزی، تیم تحقیقاتی امنیتی آسیب‌پذیری را کشف کرد که اگر توسط دو تا از سه امضاکننده ناشناس کیف پول چند امضایی (multisig) مورد سوء استفاده قرار می‌گرفت، به Convex multisig کنترل مستقیم بر ارزش قفل شده Convex می‌داد - تقریباً 15 میلیارد دلار. اسناد محدب به طور خاص بیان می‌کنند که چنین کنترلی امکان‌پذیر نیست.

معضل 

اگرچه تیم مشخص کرده است که از آن زمان این باگ برطرف شده است، اما خاطرنشان می کند که این واقعیت که این آسیب پذیری تنها می تواند توسط توسعه دهندگان ناشناس مسئول پروتکل مورد سوء استفاده یا وصله قرار گیرد، فرآیند افشا را به یک کار دشوار تبدیل کرده است.

پویایی تماس با تیم های ناشناس در مورد مسائل می تواند پیچیده باشد. در بسیاری از موارد، آسیب پذیری در نرم افزار منبع باز می تواند توسط هر کسی که آن را پیدا کند مورد سوء استفاده قرار گیرد. با این حال، در این نمونه خاص، این آسیب‌پذیری تنها می‌تواند توسط توسعه‌دهندگان ناشناس Convex مورد سوء استفاده (یا اصلاح) قرار گیرد.» OpenZeppelin فاش کرد.

این تیم می‌گوید که چندین گزینه را در مورد نحوه افشای نقص امنیتی به Convex در نظر گرفته است، حتی اگر معتقد است که شکاف امنیتی عمدا ایجاد نشده است، زیرا وضعیت ناشناس تیم توسعه‌دهنده می‌تواند به آن‌ها اجازه دهد به راحتی با یک حمله rug pull فرار کنند. اگر تصمیم گرفتند کثیف بازی کنند.

OpenZeppelin می‌گوید که تصمیم گرفته است که یک شرکت باگ باگ، Immunefi را به تصویر اضافه کند تا به عنوان واسطه بین آن و Convex عمل کند.

در پایان هر دو طرف توافق کردند که:

«بهترین اقدام برای این معضل این بود که احزاب دیگری را که عموماً شناخته شده بودند، در مولتی سیگ بگنجانیم، که کشیدن فرش را غیرممکن می‌کرد. در این مرحله، تیم تحقیقاتی امنیتی ارتباط باز را با Convex آغاز کرد و جزئیات کامل آسیب‌پذیری و یک روش آزمایش را ارائه کرد. مدت کوتاهی پس از آن، Convex آسیب‌پذیری را اصلاح کرد.

طبق گفته Defi Llama، در زمان انتشار، Convex Finance (CVX) TVL 14.41 میلیارد دلاری دارد، در حالی که قیمت توکن CVX اصلی آن، همانطور که در CoinMarketCap دیده می شود، در حدود 36.57 دلار است.

منبع: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/