Convex Finance устранил баг, потенциально угрожавший потерей $15 млрд
Команда DeFi-проекта Convex Finance устранила уязвимость, которая позволяла реализовать схему rug pull. Баг выявили специалисты компании OpenZeppelin.
Rugpull vulnerability patched in @ConvexFinance’s live contracts. $15 billion in TVL secured.
— OpenZeppelin (@OpenZeppelin) April 4, 2022
Summary in thread below. See blog for technical details.👇https://t.co/dAkUom9qX1
Эксперты проводили аудит безопасности протокола для биржи Coinbase. Они обнаружили, что двое из трех анонимных подписантов мультисиг-кошелька могли получить доступ к пулам ликвидности, выполнив определенную последовательность шагов. На тот момент TVL проекта составлял около $15 млрд.
В документации Convex Finance утверждалось, что подобный контроль невозможен. При этом использовать уязвимость для вывода средств или исправить ее могла только команда разработчиков протокола.
Специалисты OpenZeppelin посчитали наиболее вероятным непреднамеренность ошибки в коде, но полной уверенности в этом не было.
По их словам, они столкнулись с дилеммой, связанной с анонимностью команд подобных проектов:
- сообщить об уязвимости разработчикам и спровоцировать их на реализацию мошеннической схемы, в том случае, если она была задумана;
- раскрыть уязвимость публично и нанести урон репутации протокола с сопутствующими финансовыми потерями, если команда не замышляла противоправных действий.
В исследовательской фирме посчитали лучшим вариантом обратиться к баунти-платформе Immunefi в качестве посредника. Этот путь позволил получить гарантии, что баг не будет использован, и сообщить о нем разработчикам.
Команды OpenZeppelin и Convex Finance договорились включить в число подписантов мультисиг-кошелька дополнительные доверительные стороны, чтобы сделать несанкционированный вывод невозможным.
После этого исследователи передали разработчикам протокола полную информацию об уязвимости и методах тестирования.
Напомним, в 2021 году с помощью схемы rug pull злоумышленники похитили у пользователей криптовалюты на $2,8 млрд.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!