Альткоины

Curve’s Convex Finance исправляет уязвимость Rug Pull стоимостью 15 миллиардов долларов

Convex Finance исправила уязвимость, которая могла привести к потере всей общей стоимости, заблокированной в протоколе.

Обнаружение ошибки было сделано после того, как Coinbase поручила OpenZeppelin провести аудит безопасности Convex Finance. Протокол Defi популярен среди владельцев Curve (CRV), которые используют его для повышения доходности и вознаграждений.

OpenZeppelin инициировала аудит в конце 2021 года, и в результате его группа безопасности обнаружила, что если бы уязвимость использовалась двумя из трех анонимных подписантов кошелька с мультиподписью, это «дало бы мультиподписи Convex прямой контроль над заблокированным значением Convex — тогда примерно 15 миллиардов долларов».

Команда OpenZeppelin объяснила, что если «двое из трех подписантов мультиподписи Convex выполнят определенную серию шагов, этим пользователям будет предоставлен неограниченный доступ к токенам LP, размещенным в целевом пуле, настроенном с токеном LP и целевым датчиком». Кроме того, «документация Convex в то время… утверждала, что это невозможно — отсюда и осторожный подход к разрешению».

Раскрытие ошибки было сложной задачей, учитывая, что разработчики Convex анонимны

Что касается корректирующих действий, исправление было реализовано 14 декабря 2021 года.

Однако этот процесс был немного «хитрым», поскольку команда разработчиков Convex анонимна. Следовательно, OpenZeppelin не был уверен, что раскрытие ошибки разработчикам будет правильным решением, учитывая, что они могут использовать ее сами.

OpenZeppelin решила эту дилемму, обратившись к Immunefi, партнеру по поиску ошибок. Последний представил «посредника между OpenZeppelin и Convex».

В конце концов, ошибка была обнаружена путем включения дополнительных общеизвестных сторон в мультиподпись, что сделало невозможным вытягивание коврика до тех пор, пока не будет установлен патч.

Источник: Источник

Читать так же:  Tribal Credit использует Bitso и Stellar для трансграничных платежей B2B

Статьи по теме

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Back to top button