OpenZeppelin-ը բացահայտել է, որ վերջերս հայտնաբերել է Convex Finance (CVX) DeFi արձանագրության կոդի խիստ խոցելիությունը, որը կհանգեցներ 15 միլիարդ դոլար արժողությամբ գորգերի քաշի, եթե այն օգտագործվեր: Այդ ժամանակից ի վեր սողանցքը կարկատվել է Convex մշակողների թիմի կողմից, ըստ թիմի 4 թվականի ապրիլի 2022-ի բլոգի գրառման:
Ուռուցիկ Ֆինանսներ Rugpull հարձակումը Foiled
OpenZeppelin-ը՝ բլոկչեյն անվտանգության ընկերություն, որը պնդում է, որ հանդիսանում է անվտանգ բլոկչեյն հավելվածների ստանդարտ, լուծումներ տրամադրելով ապակենտրոնացված հավելվածներ ստեղծելու, ավտոմատացնելու և գործարկելու համար և այլն, բացահայտել է, որ վերջերս կարկատել է Convex Finance սխալը, որը կարող էր հանգեցնել $15 միլիարդ դոլարի գորգի քաշի։ .
Նրանց համար, ովքեր տեղյակ չեն, գորգ ձգվող հարձակումը տեղի է ունենում, երբ ապակենտրոնացված ֆինանսական նախագծի ստեղծողը հանկարծակի փոխանցում կամ գողանում է հարթակի իրացվելիության լողավազանների ամբողջ միջոցները և հրաժարվում է նախագիծից՝ ի վնաս ներդրողների:
OpenZeppelin թիմի բլոգային գրառման համաձայն՝ Convex Finance խելացի պայմանագրերի խոցելիությունը հայտնաբերվել է Coinbase կրիպտո փոխանակման անվտանգության աուդիտի ընթացքում 2021 թվականի դեկտեմբերին:
Convex Finance-ը DeFi հարթակ է, որը խթանում է պարգևները Curve (CRV) շահառուների և իրացվելիության մատակարարների համար: Convex Finance-ը, որը գործարկվել է 2021 թվականի մայիսին անանուն ծրագրավորողի կողմից, դարձել է նշանավոր նախագիծ Curve-ի էկոհամակարգում՝ 15 միլիարդ դոլար ընդհանուր արժեքով (TVL) այն ժամանակ:
Քանի որ Convex Finance-ը շրջանառության մեջ է պահում Curve Finance-ի CRV կայուն մետաղադրամների մեծ մասը, գորգի ձգումը կործանարար ազդեցություն կունենա երկու էկոհամակարգերի անդամների վրա:
OpenZeppelin-ը գրել է.
«Որպես աուդիտի մաս, Անվտանգության հետազոտական թիմը բացահայտեց խոցելիություն, որը, եթե օգտագործվեր երեք անանուն բազմաստորագրված դրամապանակի (multisig) ստորագրողների կողմից, Convex multisig-ին ուղղակիորեն կվերահսկեր Convex-ի կողպված արժեքը, այնուհետև մոտավորապես 15 միլիարդ դոլար: Ուռուցիկ փաստաթղթերում մասնավորապես ասվում էր, որ նման վերահսկողություն հնարավոր չէ»:
Երկընտրանք
Թեև թիմը պարզաբանել է, որ սխալն այն ժամանակվանից շտկվել է, այնուամենայնիվ նշում է, որ այն փաստը, որ խոցելիությունը կարող էր շահագործվել կամ շտկվել միայն արձանագրության համար պատասխանատու անանուն մշակողների կողմից, բացահայտման գործընթացը դարձրեց հերկուլյան խնդիր:
«Խնդիրների վերաբերյալ անանուն թիմերի հետ կապ հաստատելու դինամիկան կարող է բարդ լինել: Շատ դեպքերում բաց կոդով ծրագրային ապահովման խոցելիությունը կարող է շահագործվել յուրաքանչյուրի կողմից, ով գտնում է այն: Այս կոնկրետ դեպքում, սակայն, խոցելիությունը կարող էր շահագործվել (կամ շտկվել) միայն Convex-ի անանուն մշակողների կողմից», - բացահայտեց OpenZeppelin-ը:
Թիմն ասում է, որ հաշվի է առել մի քանի տարբերակ, թե ինչպես բացահայտել անվտանգության թերությունը Convex-ին, թեև կարծում էր, որ անվտանգության բացը միտումնավոր չի ստեղծվել, քանի որ մշակողի թիմի անանուն կարգավիճակը կարող է թույլ տալ նրանց հեշտությամբ խուսափել գորգերի հարձակումից: եթե որոշեին կեղտոտ խաղալ.
OpenZeppelin-ն ասում է, որ որոշել է նկարում ավելացնել սխալների առևտրային ընկերություն՝ Immunefi, որը կգործի որպես միջնորդ դրա և Convex-ի միջև:
Ի վերջո, երկու կողմերն էլ համաձայնեցին, որ.
«Այս երկընտրանքի համար գործողության լավագույն միջոցը հանրությանը հայտնի լրացուցիչ կուսակցություններ ներառելն էր բազմակողմանի, ինչը անհնարին դարձրեց գորգի ձգումը: Այս պահին Անվտանգության հետազոտական թիմը բաց հաղորդակցություն սկսեց Convex-ի հետ՝ տրամադրելով խոցելիության ամբողջական մանրամասներ և թեստավորման մեթոդ: Դրանից կարճ ժամանակ անց Convex-ը կարկատեց խոցելիությունը», - ասաց թիմը:
Մամուլի ժամանակ, Convex Finance-ը (CVX) ունի 14.41 միլիարդ դոլար TVL, ըստ Defi Llama-ի, մինչդեռ նրա բնիկ CVX նշանի գինը կազմում է մոտ $36.57, ինչպես երևում է CoinMarketCap-ում:
Աղբյուր՝ https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/