O OpenZeppelin revelou que recentemente descobriu uma vulnerabilidade grave no código do protocolo DeFi Convex Finance (CVX) que levaria a um puxão de US $ 15 bilhões se explorada. A brecha já foi corrigida pela equipe de desenvolvimento da Convex, de acordo com uma postagem no blog de 4 de abril de 2022 da equipe.
Ataque de Rugpull Convex Finance Frustrado
OpenZeppelin, uma empresa de segurança de blockchain que afirma ser o padrão para aplicativos de blockchain seguros, fornecendo soluções para construir, automatizar e operar aplicativos descentralizados e muito mais, revelou que recentemente corrigiu um bug da Convex Finance que poderia ter levado a um puxão de US $ 15 bilhões. .
Para quem não sabe, um ataque de puxão de tapete acontece quando um criador de projeto financeiro descentralizado de repente transfere ou rouba todos os fundos nos pools de liquidez da plataforma e abandona o projeto, em detrimento dos investidores.
De acordo com uma postagem no blog da equipe do OpenZeppelin, a vulnerabilidade nos contratos inteligentes da Convex Finance foi descoberta durante um exercício de auditoria de segurança para a exchange de criptomoedas Coinbase em dezembro de 2021.
O Convex Finance é uma plataforma DeFi que aumenta as recompensas para os apostadores e provedores de liquidez Curve (CRV). Lançado por um desenvolvedor anônimo em maio de 2021, o Convex Finance cresceu e se tornou um projeto notável no ecossistema Curve, com US$ 15 bilhões em valor total bloqueado (TVL) na época.
Como a Convex Finance detém a maioria das stablecoins CRV da Curve Finance em circulação, um puxão de tapete teria um efeito devastador sobre os membros de ambos os ecossistemas.
OpenZeppelin escreveu:
“Como parte da auditoria, a equipe de pesquisa de segurança descobriu uma vulnerabilidade que, se explorada por dois dos três assinantes anônimos de carteira multi-assinatura (multisig), daria à Convex multisig controle direto sobre o valor bloqueado da Convex – aproximadamente US$ 15 bilhões. A documentação convexa declarou especificamente que tal controle não era possível.”
O Dilema
Embora a equipe tenha deixado claro que o bug já foi corrigido, no entanto, observa que o fato de a vulnerabilidade só poder ser explorada ou corrigida pelos desenvolvedores anônimos responsáveis pelo protocolo tornou o processo de divulgação uma tarefa hercúlea.
“A dinâmica de contatar equipes anônimas sobre problemas pode ser complexa. Em muitos casos, uma vulnerabilidade em software de código aberto pode ser explorada por qualquer pessoa que a encontre. Neste caso específico, no entanto, a vulnerabilidade só pode ser explorada (ou corrigida) pelos desenvolvedores anônimos da Convex”, revelou OpenZeppelin.
A equipe diz que ponderou várias opções sobre como divulgar a falha de segurança para a Convex, mesmo acreditando que a brecha de segurança não foi criada intencionalmente, pois o status anônimo da equipe de desenvolvimento poderia permitir que eles escapassem facilmente de um ataque de puxão de tapete. se eles decidissem jogar sujo.
O OpenZeppelin diz que decidiu adicionar uma empresa de recompensas de bugs, a Immunefi, para funcionar como intermediária entre ela e a Convex.
No final, ambas as partes concordaram que:
“O melhor curso de ação para esse dilema foi incorporar outras partes publicamente conhecidas ao multisig, impossibilitando um puxão de tapete. Nesse ponto, a equipe de pesquisa de segurança iniciou uma comunicação aberta com a Convex, fornecendo detalhes completos da vulnerabilidade e um método de teste. Pouco tempo depois, a Convex corrigiu a vulnerabilidade”, afirmou a equipe.
Até o momento, a Convex Finance (CVX) tem um TVL de US$ 14.41 bilhões, de acordo com a Defi Llama, enquanto o preço de seu token CVX nativo está em torno de US$ 36.57, como visto no CoinMarketCap.
Fonte: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/