OpenZeppelin ha rivelato di aver recentemente scoperto una grave vulnerabilità nel codice del protocollo DeFi Convex Finance (CVX) che avrebbe portato a un rug pull di $ 15 miliardi se sfruttata. La scappatoia da allora è stata risolta dal team di sviluppo di Convex, secondo un post sul blog del 4 aprile 2022 del team.
Convex Finance Rugpull Attack sventato
OpenZeppelin, una società di sicurezza blockchain che afferma di essere lo standard per le applicazioni blockchain sicure, fornendo soluzioni per creare, automatizzare e gestire applicazioni decentralizzate e altro, ha rivelato di aver recentemente corretto un bug di Convex Finance che avrebbe potuto portare a un rug pull di $ 15 miliardi .
Per chi non lo sapesse, un rug pull attack si verifica quando il creatore di un progetto di finanza decentralizzata trasferisce o ruba improvvisamente tutti i fondi nei pool di liquidità della piattaforma e abbandona il progetto, a scapito degli investitori.
Secondo un post sul blog del team di OpenZeppelin, la vulnerabilità negli smart contract di Convex Finance è stata scoperta durante un esercizio di audit di sicurezza per lo scambio di criptovalute Coinbase nel dicembre 2021.
Convex Finance è una piattaforma DeFi che aumenta i premi per gli staker Curve (CRV) e i fornitori di liquidità. Lanciato da uno sviluppatore anonimo nel maggio 2021, Convex Finance è cresciuto fino a diventare un progetto notevole nell'ecosistema Curve, con 15 miliardi di dollari di valore totale bloccato (TVL) all'epoca.
Dal momento che Convex Finance detiene la maggior parte delle stablecoin CRV di Curve Finance in circolazione, un rug pull avrebbe avuto un effetto devastante sui membri di entrambi gli ecosistemi.
OpenZeppelin ha scritto:
“Come parte dell'audit, il Security Research Team ha scoperto una vulnerabilità che, se sfruttata da due dei tre firmatari di wallet multi-signature anonimi (multisig), avrebbe conferito al Convex multisig il controllo diretto sul valore bloccato di Convex, quindi circa $ 15 miliardi. La documentazione convessa affermava specificamente che tale controllo non era possibile".
Il dilemma
Sebbene il team abbia chiarito che il bug da allora è stato corretto, osserva tuttavia che il fatto che la vulnerabilità potesse essere sfruttata o riparata solo dagli sviluppatori anonimi responsabili del protocollo ha reso il processo di divulgazione un compito erculeo.
“Le dinamiche di contatto di team anonimi in merito ai problemi possono essere complesse. In molti casi, una vulnerabilità nel software open source può essere sfruttata da chiunque la trovi. In questo caso specifico, tuttavia, la vulnerabilità poteva essere sfruttata (o riparata) solo dagli sviluppatori anonimi di Convex", ha rivelato OpenZeppelin.
Il team afferma di aver valutato diverse opzioni su come divulgare il difetto di sicurezza a Convex, anche se riteneva che la scappatoia di sicurezza non fosse stata creata intenzionalmente, poiché lo stato anonimo del team di sviluppo potrebbe consentire loro di farla franca facilmente con un attacco rug pull se hanno deciso di giocare sporco.
OpenZeppelin afferma di aver deciso di aggiungere un'azienda di ricompense di bug, Immunefi, per fungere da intermediario tra essa e Convex.
Alla fine, entrambe le parti hanno convenuto che:
"La migliore linea d'azione per questo dilemma è stata quella di incorporare ulteriori parti pubblicamente note al multisig, rendendo impossibile un tiro al tappeto. A questo punto, il Security Research Team ha avviato una comunicazione aperta con Convex, fornendo tutti i dettagli sulla vulnerabilità e un metodo di test. Poco dopo, Convex ha corretto la vulnerabilità", ha affermato il team.
Al momento della stampa, Convex Finance (CVX) ha un TVL di $ 14.41 miliardi, secondo Defi Llama, mentre il prezzo del suo token CVX nativo è di circa $ 36.57, come visto su CoinMarketCap.
Fonte: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/