OpenZeppelin חשפה כי לאחרונה היא חשפה פגיעות חמורה בקוד פרוטוקול Convex Finance (CVX) DeFi שהייתה מובילה למשיכת שטיחים של 15 מיליארד דולר אם ניצלה. הפרצה תוקנה מאז על ידי צוות הפיתוח Convex, על פי פוסט בבלוג מ-4 באפריל 2022 של הצוות.
Convex Finance Rugpull Attack מסוכל
OpenZeppelin, חברת אבטחת בלוקצ'יין שמתיימרת להיות הסטנדרט ליישומי בלוקצ'יין מאובטחים, המספקת פתרונות לבנייה, אוטומציה ותפעול של יישומים מבוזרים ועוד, חשפה כי לאחרונה תיקנה באג קמור פיננסי שיכול היה להוביל למשיכת שטיחים של 15 מיליארד דולר .
למי שלא מודע, מתקפת שטיח מתרחשת כאשר יוצר פרויקט פיננסי מבוזר מעביר או גונב לפתע את כל הכספים במאגר הנזילות של הפלטפורמה ונוטש את הפרויקט, לרעת המשקיעים.
לפי פוסט בבלוג של צוות OpenZeppelin, הפגיעות בחוזים החכמים Convex Finance התגלתה במהלך תרגיל ביקורת אבטחה עבור החלפת קריפטו Coinbase בדצמבר 2021.
Convex Finance היא פלטפורמת DeFi שמגדילה את התגמולים לבעלי עניין ב-Curve (CRV) ולספקי נזילות. Convex Finance, שהושק על ידי מפתח אנונימי במאי 2021, גדל והפך לפרויקט בולט במערכת האקולוגית של Curve, עם שווי כולל של 15 מיליארד דולר ננעל (TVL) באותה עת.
מכיוון Convex Finance מחזיקה ברוב מטבעות ה-CRV stablecoins של Curve Finance במחזור, למשיכת שטיח הייתה השפעה הרסנית על החברים בשתי המערכות האקולוגיות.
OpenZeppelin כתב:
"כחלק מהביקורת, צוות מחקרי האבטחה חשף פגיעות שאם ניצלה על ידי שניים מתוך שלושה חותמים אנונימיים של ארנק ריבוי חתימות (מולטי-sig), הייתה נותנת ל-Convex multisig שליטה ישירה על הערך הנעול של Convex - אז כ-15 מיליארד דולר. תיעוד קמור ציין במפורש שליטה כזו אינה אפשרית."
הדילמה
למרות שהצוות הבהיר שהבאג תוקן מאז, הוא מציין שהעובדה שניתן היה לנצל או לתקן את הפגיעות רק על ידי המפתחים האנונימיים שאחראים על הפרוטוקול הפכה את תהליך החשיפה למשימה לא פשוטה.
"הדינמיקה של יצירת קשר עם צוותים אנונימיים בנושאים יכולה להיות מורכבת. במקרים רבים, פגיעות בתוכנת קוד פתוח יכולה להיות מנוצלת על ידי כל מי שמוצא אותה. עם זאת, במקרה הספציפי הזה, ניתן היה לנצל את הפגיעות (או לתקן) רק על ידי המפתחים האנונימיים של Convex", חשף OpenZeppelin.
הצוות אומר שהוא שקל מספר אפשרויות כיצד לחשוף את ליקוי האבטחה לקמור, למרות שהוא האמין שפרצת האבטחה לא נוצרה בכוונה, מכיוון שהסטטוס האנונימי של צוות הפיתוח יכול לאפשר להם לברוח עם התקפת משיכת שטיחים בקלות אם הם החליטו לשחק מלוכלך.
OpenZeppelin אומרת שהחליטה להוסיף לתמונה חברת פרס באגים, Immunefi, שתתפקד כמתווך בינה לבין Convex.
בסופו של דבר, שני הצדדים הסכימו כי:
"דרך הפעולה הטובה ביותר לדילמה זו הייתה לשלב גורמים נוספים ידועים בציבור למולטי-סיג, מה שהופך את משיכת השטיח לבלתי אפשרית. בשלב זה, צוות מחקרי האבטחה החל בתקשורת פתוחה עם Convex, תוך מתן פרטי פגיעות מלאים ושיטת בדיקה. זמן קצר לאחר מכן, קמור תיקנה את הפגיעות", קבע הצוות.
בזמן העיתונות, ל-Convex Finance (CVX) יש TVL של 14.41 מיליארד דולר, לפי Defi Llama, בעוד המחיר של אסימון ה-CVX המקורי שלה עומד על 36.57 דולר, כפי שניתן לראות ב-CoinMarketCap.
מקור: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/