OpenZeppelin 透露,它最近在 Convex Finance (CVX) DeFi 协议代码中发现了一个严重漏洞,如果被利用,该漏洞将导致 15 亿美元的损失。 根据该团队 4 年 2022 月 XNUMX 日的博客文章,该漏洞已被 Convex 开发团队修补。
Convex Finance Rugpull 攻击失败
OpenZeppelin 是一家区块链安全公司,号称是安全区块链应用程序的标准,提供构建、自动化和操作去中心化应用程序等解决方案,它透露它最近修复了一个可能导致 15 亿美元的地毯拉动的 Convex Finance 漏洞.
对于那些不知道的人来说,当去中心化金融项目的创建者突然转移或窃取平台流动资金池中的全部资金并放弃项目时,就会发生地毯式拉动攻击,从而损害投资者的利益。
根据 OpenZeppelin 团队的一篇博客文章,Convex Finance 智能合约中的漏洞是在 2021 年 XNUMX 月对 Coinbase 加密货币交易所进行安全审计时发现的。
Convex Finance 是一个 DeFi 平台,可提高 Curve (CRV) 质押者和流动性提供者的奖励。 Convex Finance 于 2021 年 15 月由一位匿名开发者推出,现已发展成为 Curve 生态系统中的一个著名项目,当时锁定的总价值 (TVL) 为 XNUMX 亿美元。
由于 Convex Finance 持有 Curve Finance 的大部分 CRV 稳定币在流通,因此拉扯会对两个生态系统的成员产生毁灭性影响。
OpenZeppelin 写道:
“作为审计的一部分,安全研究团队发现了一个漏洞,如果三个匿名多重签名钱包 (multisig) 签名者中的两个利用该漏洞,Convex 多重签名将直接控制 Convex 的锁定价值——大约 15 亿美元。 凸文件特别指出这种控制是不可能的。”
的困境
尽管该团队已明确表示该错误已得到修复,但它指出,该漏洞只能由负责该协议的匿名开发人员利用或修补这一事实使得披露过程成为一项艰巨的任务。
“就问题联系匿名团队的过程可能很复杂。 在许多情况下,任何发现它的人都可以利用开源软件中的漏洞。 然而,在这种特定情况下,该漏洞只能被 Convex 的匿名开发人员利用(或修补),”OpenZeppelin 透露。
该团队表示,它权衡了如何向 Convex 披露安全漏洞的几种选择,尽管它认为安全漏洞不是故意制造的,因为开发团队的匿名状态可以让他们轻松逃脱地毯拉动攻击如果他们决定玩脏。
OpenZeppelin 表示,它决定在图片中添加一个漏洞赏金公司 Immunefi,作为它和 Convex 之间的中介。
最后,双方同意:
“解决这种困境的最佳行动方案是将更多的公开参与方加入到多重签名中,这使得拉扯地毯变得不可能。 此时,安全研究团队开始与 Convex 进行公开交流,提供完整的漏洞细节和测试方法。 此后不久,Convex 修复了该漏洞,”该团队表示。
根据 Defi Llama 的数据,截至发稿时,Convex Finance (CVX) 的 TVL 为 14.41 亿美元,而其原生 CVX 代币的价格约为 36.57 美元,如 CoinMarketCap 所示。
资料来源:https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/