Convex Protocol, una piattaforma che aumenta i premi per coloro che utilizzano la stablecoin Curve, ha mitigato un problema che avrebbe potuto comportare un rug pull di $ 15 miliardi.
Gli strappi si verificano quando progetti di criptovaluta apparentemente legittimi scappano con i fondi degli investitori. È diventato un problema considerevole nello spazio della finanza decentralizzata nell'ultimo anno.
OpenZeppelin, una società di sicurezza blockchain, ha scoperto una vulnerabilità significativa durante un audit di sicurezza per Coinbase del protocollo Convex Finance. L'azienda ha scoperto che se due dei tre firmatari del portafoglio multi-firma del Convex eseguissero una serie specifica di passaggi, potrebbero accedere a un pool di token di fornitori di liquidità. OpenZeppelin ha dettagliato i passaggi in un post.
Poiché Convex detiene la maggior parte delle stablecoin CRV di Curve Finance in circolazione, erano a rischio fondi considerevoli. La vulnerabilità potrebbe consentire agli sviluppatori anonimi di Convex, sotto forma di due dei tre firmatari multisig, di ottenere il controllo sul valore bloccato di Convex, che all'epoca era di circa 15 miliardi di dollari.
Il bug poteva essere sfruttato o corretto solo dal team di sviluppo di Convex, cosa che secondo OpenZeppelin ha reso complicato il processo di divulgazione. La società di sicurezza ha affermato di essere ragionevolmente sicura che il problema non fosse intenzionale, il che significa che gli sviluppatori non erano a conoscenza della vulnerabilità o avevano l'intenzione di fuggire con i fondi, ma se l'azienda si sbagliava, la ricaduta di allertare le stesse persone con il potere di condurre il tiro del tappeto aveva il potenziale per essere disastroso.
In definitiva, OpenZeppelin ha affermato di aver tentato di ottenere garanzie che la vulnerabilità non sarebbe stata sfruttata prima di descrivere la vulnerabilità al team Convex. Hanno usato Immunefi, partner di taglia dei bug, come intermediario.
Da allora, il bug è stato corretto. La vulnerabilità non è mai stata sfruttata e non sono mai andati persi fondi. Convex ha pubblicato risorse aggiuntive abbattendo la debolezza multisig nella sua documentazione pubblica.
© 2022 The Block Crypto, Inc. Tutti i diritti riservati. Questo articolo è fornito a solo scopo informativo. Non viene offerto o destinato a essere utilizzato come consulenza legale, fiscale, di investimento, finanziaria o di altro tipo.
Fonte: https://www.theblockcrypto.com/post/140554/convex-finance-addresses-bug-that-couldve-led-to-a-15-billion-rug-pull?utm_source=rss&utm_medium=rss