OpenZeppelin саяхан Convex Finance (CVX) DeFi протоколын кодыг ашигласан тохиолдолд 15 тэрбум долларын хивс татахад хүргэж болзошгүй ноцтой эмзэг байдлыг илрүүлснээ илчилсэн. 4 оны 2022-р сарын XNUMX-ний өдрийн блогийн нийтлэлийн дагуу Convex хөгжүүлэлтийн баг уг цоорхойг зассан байна.
Гүдгэр Finance Rugpull Attack Foiled
Аюулгүй блокчэйн программуудын стандарт болох, төвлөрсөн бус програмуудыг бүтээх, автоматжуулах, ажиллуулах гэх мэт шийдлүүдийг санал болгодог OpenZeppelin блокчейн аюулгүй байдлын фирм саяхан 15 тэрбум долларын өртөгтэй хивс татахад хүргэж болзошгүй Convex Finance алдааг зассанаа илчилсэн байна. .
Мэдэхгүй хүмүүсийн хувьд, төвлөрсөн бус санхүүгийн төслийг бүтээгч нь платформын хөрвөх чадварын санд байгаа хөрөнгийг бүхэлд нь гэнэт шилжүүлж эсвэл хулгайлж, төслөө орхиж, хөрөнгө оруулагчдад хохирол учруулах үед хивс татах халдлага тохиолддог.
OpenZeppelin багийн блог нийтлэлд дурдсанаар Convex Finance ухаалаг гэрээнүүдийн эмзэг байдлыг 2021 оны XNUMX-р сард Coinbase крипто биржийн аюулгүй байдлын аудитын дасгалын үеэр илрүүлсэн байна.
Convex Finance нь Curve (CRV) тоглогчид болон хөрвөх чадварын үйлчилгээ үзүүлэгчдийн урамшууллыг нэмэгдүүлдэг DeFi платформ юм. 2021 оны 15-р сард нэрээ нууцалсан хөгжүүлэгчийн эхлүүлсэн Convex Finance нь Curve экосистемд томоохон төсөл болж өргөжин тэлсээр, тухайн үед нийт XNUMX тэрбум долларын өртөгтэй (TVL) байсан.
Convex Finance нь Curve Finance-ийн CRV тогтворжуулсан гүйлгээний дийлэнх хувийг эзэмшдэг тул хивс татах нь хоёр экосистемийн гишүүдэд муугаар нөлөөлнө.
OpenZeppelin бичсэн:
“Аудитын нэг хэсэг болох Аюулгүй байдлын судалгааны баг нь нэргүй гурван олон гарын үсэгтэй түрийвч (олон сигна) гарын үсэг зурсан хоёрын хоёр нь ашигласан тохиолдолд Convex multisig-д Convex-ийн түгжигдсэн үнэ цэнийг шууд хянах боломж олгох буюу ойролцоогоор 15 тэрбум доллар болох эмзэг байдлыг илрүүлсэн. Гүдгэр баримт бичигт ийм хяналт тавих боломжгүй гэж тусгайлан заасан байдаг."
Дилемма
Хэдийгээр баг нь алдааг зассан гэдгийг тодорхой хэлсэн ч энэ эмзэг байдлыг зөвхөн протоколыг хариуцдаг нэргүй хөгжүүлэгчид ашиглах эсвэл нөхөх боломжтой байсан нь ил болгох үйл явцыг маш том ажил болгож байгааг тэмдэглэж байна.
“Асуудлын талаар нэрээ нууцалсан багуудтай холбогдох динамик нь нарийн төвөгтэй байж болно. Ихэнх тохиолдолд нээлттэй эхийн програм хангамжийн эмзэг байдлыг олсон хүн бүр ашиглаж болно. Гэсэн хэдий ч энэ тохиолдолд эмзэг байдлыг зөвхөн Convex-ийн нэргүй хөгжүүлэгчид ашиглах (эсвэл нөхөх) боломжтой" гэж OpenZeppelin илчилсэн.
Баг нь аюулгүй байдлын цоорхойг зориудаар үүсгээгүй гэж үзэж байсан ч "Convex"-ийн аюулгүй байдлын алдааг хэрхэн илчлэх талаар хэд хэдэн хувилбарыг авч үзсэн гэж мэдэгдэв, учир нь хөгжүүлэлтийн багийн нэргүй статус нь тэднийг хивс татах халдлагаас амархан ангижрах боломжийг олгодог. хэрэв тэд бохир тоглохоор шийдсэн бол.
OpenZeppelin энэ зураг дээр Immunefi хэмээх алдааны шагналын фирмийг нэмж, гүдгэр хоёрын хооронд зуучлахаар шийдсэн гэж мэдэгдэв.
Эцэст нь хоёр тал санал нэгдэв:
"Энэ бэрхшээлийг даван туулах хамгийн сайн арга бол олон нийтэд танигдсан нэмэлт талуудыг олон нийтийн системд нэгтгэх нь хивс татах боломжгүй болгох явдал байв. Энэ үед Аюулгүй байдлын судалгааны баг нь Convex-тэй нээлттэй харилцаж, эмзэг байдлын дэлгэрэнгүй мэдээлэл, туршилтын аргыг бүрэн хангасан. Үүний дараахан Convex эмзэг байдлыг зассан" гэж багийнхан мэдэгдэв.
Хэвлэлийн үеэр Convex Finance (CVX) нь 14.41 тэрбум долларын TVL-тэй гэж Дефи Ллама мэдээлсэн бол түүний уугуул CVX жетоны үнэ CoinMarketCap дээр харвал 36.57 доллар орчим байна.
Эх сурвалж: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/