Curve’s Convex Finance исправляет уязвимость Rug Pull стоимостью 15 миллиардов долларов
Convex Finance исправила уязвимость, которая могла привести к потере всей общей стоимости, заблокированной в протоколе.
Обнаружение ошибки было сделано после того, как Coinbase поручила OpenZeppelin провести аудит безопасности Convex Finance. Протокол Defi популярен среди владельцев Curve (CRV), которые используют его для повышения доходности и вознаграждений.
OpenZeppelin инициировала аудит в конце 2021 года, и в результате его группа безопасности обнаружила, что если бы уязвимость использовалась двумя из трех анонимных подписантов кошелька с мультиподписью, это «дало бы мультиподписи Convex прямой контроль над заблокированным значением Convex — тогда примерно 15 миллиардов долларов».
Команда OpenZeppelin объяснила, что если «двое из трех подписантов мультиподписи Convex выполнят определенную серию шагов, этим пользователям будет предоставлен неограниченный доступ к токенам LP, размещенным в целевом пуле, настроенном с токеном LP и целевым датчиком». Кроме того, «документация Convex в то время… утверждала, что это невозможно — отсюда и осторожный подход к разрешению».
Раскрытие ошибки было сложной задачей, учитывая, что разработчики Convex анонимны
Что касается корректирующих действий, исправление было реализовано 14 декабря 2021 года.
Однако этот процесс был немного «хитрым», поскольку команда разработчиков Convex анонимна. Следовательно, OpenZeppelin не был уверен, что раскрытие ошибки разработчикам будет правильным решением, учитывая, что они могут использовать ее сами.
OpenZeppelin решила эту дилемму, обратившись к Immunefi, партнеру по поиску ошибок. Последний представил «посредника между OpenZeppelin и Convex».
В конце концов, ошибка была обнаружена путем включения дополнительных общеизвестных сторон в мультиподпись, что сделало невозможным вытягивание коврика до тех пор, пока не будет установлен патч.
Источник: Источник